Databehandleravtale

Behandlingsansvarlig er Kunden.

Databehandler er Easypeasy Regnskap AS, org.nr. 935 427 738.

Databehandleravtalen gjelder bare for behandling der Easypeasy opptrer som databehandler. Behandling der Easypeasy opptrer som selvstendig behandlingsansvarlig reguleres av personvernerklæringen.

Formålet med behandlingen er å stille Systemet til rådighet for Kunden og utføre nødvendig drift, hosting, vedlikehold, sikkerhet, support, feilretting, backup, eksport og andre handlinger som er nødvendige for levering av den bestilte tjenesten.

Behandlingen omfatter blant annet lagring, organisering, strukturering, tilgjengeliggjøring, overføring etter Kundens instruks, sikkerhetskopiering, feilsøking og annen nødvendig teknisk behandling av personopplysninger i Systemet.

Behandlingen varer så lenge Easypeasy leverer tjenestene til Kunden og deretter så lenge opplysninger oppbevares i samsvar med avtalen, dokumenterte instrukser eller lovpålagte krav.

Registrerte kan blant annet være Kundens kontaktpersoner, brukere, ansatte, oppdragstakere, kunder, leverandører, privatkunder, debitorer, kreditorer og andre personer som inngår i Kundens regnskapsmateriale.

Personopplysninger kan blant annet omfatte navn, adresse, e-postadresse, telefonnummer, stilling, fødselsdato, fødselsnummer der dette er nødvendig og lovlig, organisasjonstilknytning, kontonummer, betalingsopplysninger, fakturaopplysninger, transaksjonsopplysninger, vedlegg, bilag, meldingshistorikk, innloggingsdata og annen informasjon Kunden registrerer eller gjør tilgjengelig i Systemet.

Easypeasy skal bare behandle personopplysninger etter dokumenterte instrukser fra Kunden, med mindre annet følger av lov.

Kundens bruk av Systemet, aktivering av funksjoner, konfigurasjon av integrasjoner og skriftlige henvendelser til support anses som dokumenterte instrukser innenfor rammen av avtalen.

Dersom Easypeasy mener at en instruks er i strid med personvernregelverket, skal Kunden varsles uten ugrunnet opphold.

Easypeasy skal sørge for at personer som er autorisert til å behandle personopplysningene er underlagt taushetsplikt eller tilsvarende kontraktsmessig forpliktelse.

Tilgang til personopplysninger skal begrenses etter behov, rolle og arbeidsoppgave.

Easypeasy kan gi tilgang til relevante ansatte og intern regnskapsfører når dette er nødvendig for support, intern kvalitetskontroll, feilsøking, sikkerhet, etterlevelse av lovkrav eller annen oppfyllelse av avtalen.

Easypeasy skal iverksette egnede tekniske og organisatoriske tiltak for å beskytte personopplysningene, herunder tiltak for tilgangskontroll, logging, sikker overføring, sikker lagring, backup, gjenoppretting, sårbarhetshåndtering og intern oppfølging av sikkerhet.

Sikkerhetsnivået vurderes opp mot risikoen ved behandlingen og typen opplysninger som behandles.

Ingen digitale systemer kan garanteres helt uten risiko, men Easypeasy skal arbeide systematisk for å redusere risiko og håndtere hendelser forsvarlig.

Easypeasy kan benytte underdatabehandlere for hosting, infrastruktur, kommunikasjon, kundestøtte, analyse, autentisering, backup og andre støttetjenester som er nødvendige for levering av Systemet.

Easypeasy skal påse at underdatabehandlere er bundet av avtaler som pålegger dem personvern- og sikkerhetsforpliktelser som i det vesentlige tilsvarer denne databehandleravtalen.

Oppdatert oversikt over sentrale underdatabehandlere finnes på egen side .

Easypeasy skal, tatt i betraktning behandlingens art og tilgjengelig informasjon, bistå Kunden med å oppfylle plikter etter personvernregelverket.

Dette omfatter blant annet forespørsler om innsyn, retting, sletting, begrensning, dataportabilitet, sikkerhetsbrudd, konsekvensvurderinger og dialog med tilsynsmyndigheter.

Easypeasy kan kreve rimelig betaling for bistand som går vesentlig utover ordinær brukerstøtte og det som med rimelighet må anses inkludert i tjenesten.

Easypeasy skal varsle Kunden uten ugrunnet opphold etter å ha blitt kjent med et brudd på personopplysningssikkerheten som påvirker personopplysninger behandlet på vegne av Kunden.

Varslingen skal så langt mulig inneholde informasjon om hendelsens karakter, sannsynlige konsekvenser, iverksatte tiltak og kontaktpunkt for videre oppfølging.

Easypeasy skal ikke overføre personopplysninger til land utenfor EU/EØS uten gyldig overføringsgrunnlag etter gjeldende personvernregelverk.

Dersom overføring skjer, skal Easypeasy sørge for nødvendige garantier, for eksempel standard personvernbestemmelser eller annet gyldig grunnlag.

Kunden kan be om rimelig dokumentasjon for at Easypeasy oppfyller sine forpliktelser etter dette vedlegget.

Dersom dokumentasjonen ikke er tilstrekkelig og Kunden har saklig behov, kan Kunden be om revisjon eller kontroll med rimelig forhåndsvarsel og på en måte som ikke unødig forstyrrer Easypeasys virksomhet eller andre kunders sikkerhet.

Easypeasy kan tilby tredjepartsrevisjoner, erklæringer eller standardiserte sikkerhetsbeskrivelser som alternativ til stedlig revisjon.

Når avtalen opphører, skal Kunden gis mulighet til å hente ut data gjennom tilgjengelige eksportfunksjoner i en rimelig periode, med mindre tilgang må stenges tidligere av hensyn til sikkerhet eller lov.

På grunn av krav til sporbarhet, konsistens og regnskapsmessig integritet kan ikke alle opplysninger slettes umiddelbart.

Som hovedregel kan foretak eller brukere slettes logisk først og deretter fysisk inntil tolv måneder senere. Sikkerhetskopier kan oppbevares i inntil tre måneder etter logisk sletting, og sikkerhetslogger i inntil tre år når dette er nødvendig av hensyn til sikkerhet, hendelseshåndtering og sporbarhet.

Kunden er ansvarlig for å vurdere hvilke regnskapsopplysninger og hvilket regnskapsmateriale som må oppbevares etter bokføringsregelverket og annet relevant regelverk.

Ingen bestemmelse i dette vedlegget skal tolkes slik at Easypeasy påtar seg Kundens selvstendige plikter etter bokføringsloven eller annen ufravikelig lovgivning.