Juridisk · DPA
Databehandleravtale etter art. 28 GDPR.
Denne databehandleravtalen («Avtalen») regulerer Krescado AS sin behandling av personopplysninger på vegne av behandlingsansvarlig («Kunden»). Avtalen er utformet i samsvar med GDPR artikkel 28 og supplerer tjenesteavtalen mellom partene.
§ 1 · Parter
Behandlingsansvarlig og databehandler§
- Behandlingsansvarlig
- Kundens virksomhet (den som registrerer seg og inviterer ansatte til AI Kompetansebevis).
- Databehandler
- Krescado AS, org.nr. 933 246 957, personvern@krescado.no
§ 2 · Formål og omfang
Hva avtalen dekker§
Databehandler behandler personopplysninger utelukkende for å levere AI Kompetansebevis-tjenesten på vegne av Kunden. Behandlingen omfatter:
- Lagring og forvaltning av ansattdata (navn, e-post)
- Gjennomføring og lagring av quiz-resultater og fremdrift
- Utstedelse og forvaltning av kompetansesertifikater
- Utsending av e-post (invitasjoner, påminnelser, verifisering)
- Generering av compliance-rapporter for Kunden
§ 3 · Kategorier av personopplysninger
Hva som behandles§
- Identifikasjon
- Navn, e-postadresse
- Organisatorisk
- Bedriftstilknytning, rolle (ansatt/leder)
- Kursdata
- Quiz-resultater, modulfremdrift, antall forsøk, svake kategorier
- Sertifikater
- Verifiseringskode, score, utstedelsesdato, utløpsdato
- Teknisk
- Tidsstempler, IP-adresse (ved registrering)
Det behandles ingen særlige kategorier av personopplysninger (sensitive data).
§ 4 · Databehandlers plikter
Hva Krescado forplikter seg til§
- Behandle personopplysninger kun etter dokumentert instruks fra Kunden og i samsvar med denne avtalen
- Sikre at personer som behandler personopplysningene er underlagt taushetsplikt
- Gjennomføre egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet i forhold til risikoen (jf. GDPR art. 32)
- Bistå Kunden med å oppfylle sine forpliktelser overfor registrerte (innsyn, retting, sletting/anonymisering)
- Varsle Kunden uten ugrunnet opphold ved brudd på personopplysningssikkerheten
- Slette eller anonymisere alle personopplysninger ved avtalens opphør, med mindre lovpålagte oppbevaringsfrister krever fortsatt lagring
- Gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene i denne avtalen er oppfylt
§ 5 · Sikkerhetstiltak
Tekniske og organisatoriske tiltak§
Databehandler har implementert følgende tekniske og organisatoriske tiltak:
- Kryptering
- AES-256 for data i hvile, TLS 1.2+ for data i transitt
- Tilgangskontroll
- Tofaktorautentisering (MFA) for alle administratorer, rollebasert tilgangsstyring (RBAC), Row-Level Security (RLS) i databasen
- Dataminimering
- Kun nødvendige opplysninger samles inn og lagres
- Revisjonslogg
- Alle sensitive handlinger logges med tidsstempel og aktør
- Sikkerhetskopier
- Daglige backups med point-in-time recovery
- Tenant-isolasjon
- Hver kundes data er logisk isolert med company_id-filtrering og RLS
Fullstendig sikkerhetsoversikt er tilgjengelig på /sikkerhet.
§ 6 · Underleverandører
Underdatabehandlere§
Kunden gir herved generell skriftlig forhåndsgodkjenning til bruk av underleverandører. Databehandler skal varsle Kunden minst 30 dager før nye underleverandører tas i bruk. Kunden kan protestere mot endringer.
Gjeldende underleverandører er listet på /underleverandorer. Overføringer til tredjeland er dokumentert på /tredjeland.
§ 7 · Lagringstid og sletting
Hvor lenge data oppbevares§
| Kategori | Lagringstid |
|---|---|
| Kurs- og quizdata | Mens ansettelsesforholdet består + 2 år. Kan anonymiseres av Kunden via admin-panelet. |
| Sertifikater | Opptil 5 år etter utstedelse |
| Vurderingsdata | 24 måneder etter innsending. Slettes automatisk. |
| E-postlogger | 90 dager etter sending |
| Revisjonslogg | 5 år |
Ved avtalens opphør slettes eller anonymiseres alle personopplysninger innen 90 dager, med mindre Kunden ber om eksport før eller lovpålagte oppbevaringsfrister krever annet.
§ 8 · Registrertes rettigheter
Bistand med registrertes rettigheter§
Databehandler bistår Kunden med å oppfylle registrertes rettigheter:
- Innsyn
- Kunden kan eksportere data via admin-panelet (CSV-eksport). Forespørsler til Databehandler besvares innen 30 dager.
- Retting
- Kunden kan oppdatere ansattinformasjon via admin-panelet.
- Sletting / anonymisering
- Kunden kan anonymisere enkeltpersoner via admin-panelet. Anonymisering erstatter navn og e-post med generiske verdier.
- Dataportabilitet
- CSV-eksport av alle lagrede personopplysninger.
§ 9 · Varsling ved brudd
Brudd på personopplysningssikkerheten§
Databehandler skal varsle Kunden uten ugrunnet opphold, og senest innen 48 timer, etter å ha blitt kjent med brudd på personopplysningssikkerheten. Varselet skal inneholde:
- Beskrivelse av bruddet og berørte kategorier av data
- Antatt antall berørte registrerte
- Tiltak iverksatt eller planlagt for å håndtere bruddet
- Kontaktpunkt hos Databehandler
§ 10 · Revisjon
Kundens revisjonsrett§
Kunden har rett til å gjennomføre eller få gjennomført revisjoner av Databehandlers etterlevelse av denne avtalen. Databehandler skal bistå ved slike revisjoner i rimelig omfang. Revisjoner skal varsles minst 30 dager i forveien og gjennomføres på en måte som ikke unødig forstyrrer driften.
§ 11 · Varighet og opphør
Avtalens løpetid§
Denne avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Kunden. Ved opphør av tjenesteavtalen opphører også denne avtalen. Databehandlers forpliktelser knyttet til sletting, konfidensialitet og sikkerhetstiltak består etter avtalens opphør.
§ 12 · Kontakt
Henvendelser om avtalen§
§ 13 · Aksept
Aksept ved registrering§
Behandlingsansvarlig aksepterer denne databehandleravtalen ved registrering i AI Kompetansebevis-plattformen. Den som oppretter virksomheten i løsningen bekrefter at vedkommende har fullmakt til å inngå avtalen på vegne av behandlingsansvarlig. Aksepten logges med tidsstempel, IP-adresse og versjon av avtalen.