Endringslogg Databehandleravtale

Endringslogg Databehandleravtale

Oppdatert liste med endringer som er fortatt i Databehandleravtalen for kunder av Pindena.

Endringer publisert 27.05.2024

Skrevet mer tekst i A.4. Endret fra: Behandlingsansvarlig registrerer personopplysninger i fritt valgte kategorier.
Endret til: De registrerte som Databehandler behandler personopplysninger om, kan være kunder, leverandører, ansatte, studenter, besøkende, medlemmer, deltagere eller enhver annen gruppe av fysiske personer, som definert av Behandlingsansvarlig.

Endringer publisert 18.04.2024

  • Oppdatert avsnitt om tilgjengelighet i bilag C 2.2, da vi ikke tar backup av filer som er lastet opp i systemet på Amazon server.

Endringer publisert 05.03.2024

  • Lagt til avsnitt om opplæring av ansatte i sikkerhet i bilag C pkt. 2.2.
  • Endret adresse til Østre Kullerød 5.

Endringer etter 13.01.2022

  1. Endret underleverandører ifm bytte til den norske e-post leverandøren Make AS:
    • Fjernet Twilio SendGrid i B2 og C4
    • Fjernet MailJet i B2 og C4
    • Lagt til Make AS i B2
    • Endret tekst om e-posttjeneste knyttet til valg av server i B2

Endringer publisert 13.01.2022 i Databehandleravtale 2.0.

Endringer i hovedavtalen er ikke lagt inn i endringsloggen da det er det samme innholdet som har byttet rekkefølge.

Bilag A

Pkt. A.2 Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige

  • Endret til mer utdypende tekst

Pkt. A.3 Typer av personopplysninger

  • Endret tekst slik at det er tydeligere hvilke opplysninger som kan hentes inn og at det er Behandlingsansvarliges ansvar å vite hvilke opplysninger de kan samle inn. Linket til GDPR.

Bilag B

Pkt. B.1 Behandlingsansvarliges godkjennelse av bruk av Underdatabehandlere

  • Endring: Databehandler kan endre bruk av Underdatabehandlere hvis den Behandlingsansvarlige underrettes med 1 måneds varsel og gis mulighet til å motsette seg endringene.

Pkt. B.2 Godkjente Underdatabehandlere

  • Delt listen for Underdatabehandlere i to; Drift og administrativt
  • La til generell forklarende tekst
  • Endret tekst i beskrivelse av behandling og la til link til avtaler
  • La til MailJet
  • Fjernet:
    • Empatix AS – Slått sammen med CoreTrek
    • ISP-huset – Slått sammen med Miss Hosting/lagrer ikke personopplysninger
    • Miss Hosting – Lagrer ikke personopplysninger
    • Apple – Lagrer ikke personopplysninger
    • App i Google – Lagrer ikke personopplysninger

Bilag C

Pkt. C.2. Sikkerhet ved behandlingen

  • Byttet til digdir standard, som innebærer oppdeling i C.2.1 og C.2.2
  • C.2.1 Tydeliggjort sikkerhetsnivå og linket til GDPR
  • C.2.2 Endret ordlyd eller utdypet sikkerhetstiltak
  • C.2.2 Slått sammen punkt om integritet og konfidensialitet
  • C.2.2 Fjernet Tiltak for å sikre robusthet i behandlingssystemene og -tjenestene
  • C.2.2 Fjernet Tiltak for å sikre personopplysningenes integritet

Pkt. C.3 Dokumentasjon

  • Tidligere tekst om Bistand til den behandlingsansvarlige, er dekket i DBA pkt 6.
  • Byttet til digdir standardtekst

Pkt. C.4 Overføring av personopplysninger – Lokasjon for behandling og tilgang

  • Tidligere Fremgangsmåte for lagringstid/sletting, er dekket i pkt. C.6.
  • Amazon: Endret ordlyd, la til at krypteringsnøkkel er generert i Amazon KMS
  • Twilio SendGrid: Forkortet tekst
  • La til MailJet
  • Fjernet HelpScout

Pkt. C.5 Rutiner for revisjon og tilsyn

  • Tidligere Behandlingssted, er dekket i pkt. B.2.
  • Detaljert fremgangsmåte er lagret som en rutine i Pindenas styringssystem
  • Byttet til digdir standardtekst

Pkt. C.6 Sletting og tilbakelevering av personopplysninger ved avtalens opphør

  • Tidligere Instrukser for overføring av personopplysninger tredjestat, er dekket i pkt. C.4.
  • Fjernet “ca.” og “automatisk”
  • La til sletting (90 dager)
  • La til backup (10 dager)

Pkt. C.7 Sektorspesifikke bestemmelser om behandling av personopplysninger

  • Tidligere Fremgangsmåte ved revisjoner som utføres av Databehandleren, er dekket i C.5

Pkt C.8 Kontaktinformasjon

  • Tidligere Fremgangsmåte ved revisjoner som utføres av Underdatabehandlere, er dekket i C.5
  • Lagt til kontaktinformasjon, tidligere dekket i pkt. 15.
  • Lagt til telefonnummer

Endringer i databehandleravtale etter lansering 05.03.2021

  • 11.11.2021: Oppdatert adresse for underleverandør CoreTrek
  • 11.05.2021: La inn OnePageCRM som en underleverandør.
  • 23.03.2021: Punkt C.2 – Endret  «data er dermed “in transit”» til «data “in transit” er dermed kryptert.»
  • 22.03.2021: Punkt C.6 – La til at det kun er AWS som benytter SendGrid.
  • 09.03.2021: La inn en tekst for å tydeliggjøre at kunder på Deploi server, ikke sender epost via SendGrid. 
  • 08.03.2021: Oppdatert adresser i tabellen over underdatabehandlere. La også til at CoreTrek er vår underleverandør for nettside.