Det er teknologiselskapet DOPS AS som utvikler og som regel drifter tjenestene og løsningene vi leverer. Avtalen regulerer DOPS (Databehandler) sin behandling av personopplysninger på vegne av Kunden (Behandlingsansvarlig), herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, og rettigheter og plikter etter Personopplysningsloven (Lov av 14. april 2000 nr. 31 om behandling av personopplysninger og forskrift av 15. desember 2000 nr. 1265, Personopplysningsforskriften) og Personvernforordningen (Forordning 2016/679 - GDPR) som trer i kraft 1. juli 2018.

Avtalen skal sikre at personopplysninger ikke brukes urettmessig eller kommer uberettigede i hende.

Denne avtalen omfatter alle personopplysninger som blir behandlet ved bruk løsninger, produkter og tjenester fra DOPS.

Formålet med behandlingen er å levere tjenesten i tråd med gjeldende driftsvilkår, og utføre oppdrag og service på forespørsel fra Kunden. DOPS kan ikke behandle personopplysninger til andre formål enn dette. Behandling av personopplysninger skal skje i tråd med gjeldende lover og forskrifter, denne avtalen, og Personvernerklæringen. http://www.dops.no/personvern

Kunden er behandlingsansvarlig for data som lagres, og behandles, ved bruk av løsningen, og har selv eierskap til, og ansvaret for disse. DOPS kan ikke under noen omstendigheter tilordnes rollen som behandlingsansvarlig for disse dataene. Det er Kunden som bestemmer formålet med sin behandling av personopplysninger og hvilke hjelpemidler som skal brukes, og som har ansvaret for at personopplysninger behandles i henhold til de krav som lover, regler og forskrifter oppstiller.

DOPS skal kun behandle personopplysninger etter Kundens skriftlige instruksjoner. DOPS plikter å gi Kunden tilgang til dokumentasjon, og bistå, slik at Kunden kan ivareta sitt eget ansvar etter lov og forskrift. Kunden har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til formålet. DOPS plikter å gi nødvendig bistand til dette.

DOPS plikter å bistå den Behandlingsansvarlige med å etterleve kravene til å etablere et egnet sikkerhetsnivå, herunder gjennomføre nødvendige tiltak som å varsle om sikkerhetsbrudd, vurdere personvernkonsekvenser og gjennomføre forhåndsdrøftinger på Kundens forespørsel.

DOPS plikter å utnevne en kontaktperson for Kunden, kontrollere og koordinere samsvar med denne avtalen i sin helhet, og påse at alle involverte ansatte og 3. parter er bevisst sitt ansvar for å beskytte personopplysninger i samsvar med lov, og denne avtalen.

Detaljer for kontaktpunktet skal til enhver tid være tilgjengelig i personvernerklæringen.

DOPS forbeholder seg retten til å nekte behandling av personopplysninger som bryter med loven, og plikter å varsle Kunden om dette.

Kunden aksepterer at DOPS og Underleverandører kan behandle personopplysninger utenfor Norge, EU og Sveits. Dette gjelder også hvor Kunden har avtalt at datalagring skal finne sted i Norge, EU, eller Sveits, men bare dersom behandling utenfor EU er nødvendig for å utføre Kundeservice eller andre tjenester på forespørsel fra Kunden. Behandling av personopplysninger utenfor Norge, EU eller Sveits, skal skje i tråd med gjeldende lover og forskrifter, driftsvilkår, Personvernerklæringen, og ellers som nødvendig for å levere tjenesten, og utføre kundeservice på forespørsel fra Kunden.

Det er Kunden sitt ansvar å vedlikeholde en oversikt over hvilke personopplysninger DOPS behandler på vegne av Kunden.

Det er Kunden sitt ansvar å avgi skriftlige instruksjoner om hvordan personopplysninger skal behandles. Nødvendige tilganger skal kun oppgis på forespørsel. Det er Kunden sitt ansvar å forvalte tilgangene som oppgis, og tilgangene skal straks fjernes når behovet ikke lenger er tilstede.

Kunden er inneforstått med at tjenestene til DOPS i utgangspunktet ikke inkluderer sikkerhetstiltak som er nødvendig for behandling av personopplysninger om barn, og sensitive og konfidensielle personopplysninger, som for eksempel kryptering eller fysisk separasjon, med mindre dette fremgår eksplisitt av produktbeskrivelse og/eller kontrakt. Det er Kunden sitt ansvar å implementere hensiktsmessige sikkerhetstiltak for personopplysninger som behandles ved hjelp av DOPS sine tjenester.

Kunden garanterer at all behandling av personopplysninger som skjer i forbindelse med denne avtalen er, og fortsetter å være, i tråd med alle relevante personvernsbestemmelser, til enhver tid gjeldende lov- og forskriftsregulering, i henhold til eventuelle vedtak fattet av offentlige myndigheter i Norge og EU, og i tråd med denne avtalen.

Kunden plikter å informere sine brukere om bruken av databehandlere, inkludert DOPS, og at personopplysninger kan bli behandlet utenfor Norge, EU, eller Sveits.

Kunden skal sende inn forespørsler som medfører behandling av personopplysninger i god tid før behandlingen skal skje, og plikter å besvare henvendelser fra DOPS uten unødig opphold.

Behandling av personopplysninger i tråd med Kundens personvernsertifiseringer kan kun skje etter særskilt avtale.

Kunden må selv eksportere data og personopplysninger ved opphør, og før siste avtaleperiode løper ut. Eksporten skal skje ved hjelp av grensesnittene som er tilgjengelig i Kundens løsning. Kunden plikter å gjøre seg kjent med disse grensesnittene. DOPS plikter å bistå Kunden eller Kundens Partner med denne eksporten på forespørsel.

Eksport av data utover det DOPS (med Underleverandører) sine grensesnitt muliggjør, inkludert men ikke begrenset til bruk av andre eksportformater eller eksportmetoder, skal skje for Kunden sin regning, og faktureres etter medgått tid og til gjeldende timepriser.

Kunden aksepterer at DOPS sletter alle data ved opphør, inkludert eventuelle sikkerhetskopier, etter at siste avtaleperiode har løpt ut, og at data vil bli slettet etter de retningslinjer og prosedyrer som DOPS (med underleverandører) til enhver tid fastsetter.

DOPS vil ikke innestå for tap av data som skyldes at eksport av data ikke er gjennomført før utløpsdato for tjenesten(e).

DOPS (med underleverandører) plikter å implementere og vedlikeholde nødvendige tekniske og organisatoriske tiltak som stilles etter til enhver tid gjeldende lover, regler og forskrifter, for å beskytte mot tap av personopplysninger som skyldes utilsiktet eller ulovlig destruksjon, utilsiktet tap eller endring, urettmessig formidling eller tilgang (avvik), så langt det er praktisk gjennomførbart og i DOPS sin kontroll. Slike tiltak skal hensynta tilgjengelig teknologi, og kostnaden ved implementering for å oppnå et hensiktsmessig sikkerhetsnivå sett i forhold til behandlingen av personopplysningene, og naturen av dataene som er lagret.

Enhver bruk av informasjonssystemer i strid med DOPS sine rutiner, Kundens instrukser, Personvernlovgivningen eller GDPR, skal håndteres som et avvik. DOPS skal varsle Kunden ved avvik så snart DOPS får kunnskap om det, og om nødvendig samarbeide med Kunden om å avhjelpe avviket. Kunden har selv ansvar for at avviksmelding sendes Datatilsynet.

Varselet til Kunden skal som minimum inneholde en beskrivelse av avvikets natur, kontaktinformasjon til kontaktpunkt hos DOPS, en beskrivelse av mulige konsekvenser, og en beskrivelse av tiltak som er iverksatt, eller planlagt iverksatt, for å lukke avviket og begrense konsekvensene.