Skip to content

Databehandleravtale (DPA)

Versjon 1.0 — Sist oppdatert 8. oktober 2025

Denne databehandleravtalen ("Avtalen") regulerer behandlingen av personopplysninger mellom:

Behandlingsansvarlig: Kunden (RIN AS sine kunder)
Databehandler: Soverein IT - RIN AS Organisasjonsnummer: 921551800 MVA E-post: personvern@soverein.it

Avtalen gjelder for alle tjenester og leveranser der RIN AS behandler personopplysninger på vegne av kunden,
uavhengig av om det foreligger en særskilt hovedavtale, bestilling, ordrebekreftelse eller annen kontrakt.

Avtalen gjelder dermed automatisk som en del av enhver tjenesteleveranse fra Soverein IT, og oppfyller kravene i EUs personvernforordning (GDPR) artikkel 28 (3).

1. Formål og omfang

Soverein IT behandler personopplysninger på vegne av kunden for å levere tjenester innen IT-drift, programvare, support og tilhørende systemadministrasjon.

Behandlingen skjer kun for å oppfylle avtalte formål og innenfor de rammene som følger av denne avtalen. Soverein IT bestemmer ikke selv formålet med behandlingen.

2. Partenes roller og ansvar

  • Kunden (Behandlingsansvarlig) bestemmer formål og midler for behandlingen.
  • Soverein IT (Databehandler) behandler opplysninger utelukkende etter skriftlige instrukser fra kunden.

Begge parter skal sikre at behandlingen skjer i samsvar med gjeldende personvernlovgivning.

3. Typiske kategorier av data

Soverein IT behandler normalt følgende typer personopplysninger for kunders ansatte og brukere:

  • Navn, e-postadresse, telefonnummer og brukernavn
  • IP-adresse og tekniske logger
  • Kontakt- og kundeopplysninger
  • Eventuelle systemmetadata og tilganger

Det behandles ikke sensitive personopplysninger med mindre dette er uttrykkelig avtalt.

4. Sikkerhet og konfidensialitet

Soverein IT skal opprettholde et sikkerhetsnivå som sikrer konfidensialitet, integritet og tilgjengelighet i henhold til GDPR art. 32.
Dette omfatter blant annet:

  • Tilgangsstyring og tofaktorautentisering
  • Kryptering av overføring og lagring (TLS, AES-256)
  • Logging, sikkerhetskopiering og hendelseshåndtering
  • Regelmessige risikovurderinger og revisjoner

Alle ansatte og underleverandører med tilgang til data er bundet av taushetsplikt.

5. Underleverandører

Soverein IT kan benytte underleverandører (subdatabehandlere) for å levere tjenester, forutsatt at disse:

  • er underlagt de samme forpliktelser som i denne avtalen, og
  • har tilfredsstillende sikkerhet og personvernrutiner.

En oppdatert oversikt over godkjente underleverandører

6. Overføring til tredjeland

All behandling skjer som hovedregel innenfor EU/EØS.
Dersom data overføres utenfor EU/EØS, skal overføringen være basert på gyldig overføringsgrunnlag, f.eks. EU Standard Contractual Clauses (SCC).

7. Bistand til den behandlingsansvarlige

Soverein IT skal, så langt det er rimelig, bistå kunden med å:

  • svare på forespørsler fra registrerte (innsyn, sletting, retting, portabilitet osv.),
  • utføre vurderinger av personvernkonsekvenser (DPIA), og
  • håndtere eventuelle personvernbrudd i henhold til GDPR art. 33–34.

8. Varsling ved sikkerhetsbrudd

Ved brudd på personopplysningssikkerheten skal Soverein IT uten ugrunnet opphold, og senest innen 24 timer, varsle kunden med:

  • beskrivelse av hendelsen,
  • hvilke data og registrerte som er berørt,
  • mulige konsekvenser, og
  • tiltak som er iverksatt for å begrense skade og forhindre gjentakelse.

9. Revisjon og dokumentasjon

Kunden har rett til å be om dokumentasjon som viser at Soverein IT etterlever denne avtalen.
Dersom det er behov for revisjon, kan dette utføres én gang årlig etter avtale.
Tredjepartsrevisjoner (f.eks. ISO 27001) kan benyttes som tilstrekkelig grunnlag.

10. Varighet, sletting og tilbakelevering

Avtalen gjelder så lenge Soverein IT behandler personopplysninger på vegne av kunden.
Ved opphør av tjenesteforholdet skal alle personopplysninger:

  1. returneres til kunden i avtalt format, og
  2. slettes permanent innen 90 dager, med dokumentert bekreftelse.

11. Ansvar og begrensninger

Hver part er ansvarlig for egne handlinger og forpliktelser etter gjeldende lov.
Soverein IT er ikke ansvarlig for behandling utenfor dokumenterte instruksjoner.
Eventuelle krav vurderes i henhold til hovedavtalens ansvarsbestemmelser.

12. Forholdet til andre avtaler

Denne databehandleravtalen gjelder uavhengig av andre avtaler eller kontrakter mellom partene,
og har forrang ved eventuell motstrid knyttet til behandling av personopplysninger.

Dersom annen avtale eller kontrakt omtaler personopplysninger, skal denne databehandleravtalen anses som supplerende og styrende for alle slike forhold.

13. Lovvalg og tvister

Avtalen er underlagt norsk lov.
Eventuelle tvister skal søkes løst gjennom dialog. Dersom dette ikke lykkes, avgjøres saken ved Oslo tingrett.