Innhold
Versjon 1.2
Gjeldende fra 12.01.2026
Disse databehandlervilkårene gjelder for behandling av personopplysninger der:
Databehandlervilkårene regulerer behandlingen av personopplysninger som Databehandler utfører på vegne av Behandlingsansvarlig, i samsvar med Europaparlaments- og rådsforordning (EU) 2016/679 («personvernforordningen»), slik denne er gjennomført i norsk rett ved personopplysningsloven av 15. juni 2018 nr. 38. Begreper brukt i disse databehandlervilkårene skal forstås i samsvar med definisjonene i personvernforordningen art. 4.
I forbindelse med at Behandlingsansvarliges ansatte, leietakere og andre brukere («Brukere») benytter Izy-plattformen, vil Izy AS også behandle personopplysninger for egne formål i egenskap av behandlingsansvarlig. Slik behandling faller utenfor disse databehandlervilkårene og reguleres av Izy AS’ til enhver tid gjeldende brukervilkår og personvernerklæring, som er gjort tilgjengelige for Brukere på egnet måte. Brukervilkårene og personvernerklæringen er tilgjengelige på henholdsvis https://izy.no/brukervilkar-app/ og https://izy.no/privacy-policy-no/, eller slik annen nettadresse som meddeles av Databehandler.
Gjenstanden for og formålet med behandlingen er at Databehandler vil behandle personopplysninger på vegne av Behandlingsansvarlig i forbindelse med levering av Behandlingsansvarliges tjenester i Izy-plattformen. Izy-plattformen er et verktøy for kommunikasjon og service. Gjennom plattformen tilrettelegges det for at Brukeren, i forbindelse med bygget som Brukeren oppholder seg i, kan:
Kategoriene av Brukere det skal behandles opplysninger om (de registrerte) på vegne av Behandlingsansvarlig vil variere avhengig av de avtalte tjenestene og omfatter typisk Brukere som gjennom sin ansettelse hos leietaker i bygget eller gjennom lignende tilknytning benytter bygget og tilhørende fasiliteter. Kategoriene av personopplysninger som behandles vil variere avhengig av de avtalte tjenestene og hvilken informasjon Brukeren oppgir om seg selv og sin bruk gjennom plattformen. Typiske kategorier av opplysninger vil omfatte:
Diagnostiske data benyttes i forbindelse med videreutvikling av Izy-plattformen.
Behandlingsansvarlig er ansvarlig for at personopplysningene behandles i samsvar med personvernforordningen og personopplysningsloven. Behandlingsansvarlig har rett og plikt til å fastsette formålene med og hjelpemidlene for behandlingen. Behandlingsansvarlig skal gi Databehandler tilstrekkelige og lovlige dokumenterte instrukser for behandlingen av personopplysningene. Instruksene skal være en del av eller et vedlegg til disse databehandlervilkårene eller lisensavtalen.
Databehandler skal i egenskap av databehandler kun behandle personopplysningene i samsvar med avtale mellom Partene eller andre dokumenterte instrukser fra Behandlingsansvarlig. Dersom Databehandler er lovpålagt å behandle personopplysninger på annen måte, skal Databehandler varsle Behandlingsansvarlig om dette før behandlingen finner sted, med mindre slik varsling er forbudt etter gjeldende lovgivning. Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom Databehandler mener at Behandlingsansvarliges instruks er i strid med personvernforordningen eller annen gjeldende lovgivning om behandling av personopplysninger.
Partene skal iverksette egnede tekniske og organisatoriske tiltak for å sikre et tilfredsstillende sikkerhetsnivå ved behandlingen, herunder tiltak for å hindre utilsiktet eller ulovlig tilintetgjøring, tap, endring, uautorisert utlevering av eller tilgang til personopplysningene. Ved brudd på personopplysningssikkerheten skal Databehandler uten ugrunnet opphold varsle Behandlingsansvarlig. Behandlingsansvarlig er ansvarlig for eventuell varsling til Datatilsynet og de registrerte.
Partene skal behandle personopplysningene konfidensielt og sikre at ansatte og andre som er autorisert til å behandle personopplysningene, er underlagt taushetsplikt. Taushetsplikten gjelder også etter opphør av avtaleforholdet.
Databehandler skal bistå Behandlingsansvarlig med oppfyllelse av Behandlingsansvarliges forpliktelser etter personvernforordningen art. 32–36, under hensyntagen til behandlingens art og den informasjonen som er tilgjengelig for Databehandler. Databehandler skal bistå Behandlingsansvarlig med håndtering av de registrertes rettigheter. Bistanden begrenser seg til videreformidling av henvendelser fra de registrerte, lokalisering av personopplysninger i Databehandlers systemer samt å gi innsyn i, rette eller slette opplysningene etter instruks fra Behandlingsansvarlig. Databehandler kan kreve at Behandlingsansvarlig dekker rimelige kostnader knyttet til slik bistand.
Databehandler skal i henhold til personvernforordningen art. 32 sikre et tilfredsstillende sikkerhetsnivå og iverksette tiltak som står i forhold til den konkrete personopplysningsrisikoen, hva som er beste praksis og kostnaden forbundet med tiltakene i sammenheng med behandlingens karakter, formål og omfang. Databehandler skal som et minimum vurdere iverksetting av følgende tiltak:
a) Sikkerhetsorganisering med klare ansvarsområder. b) Informasjonssikkerhetspolicy og personvernpolicy. c) Tilgangskontroll til systemer og data. Både autorisert bruk og forsøk på uautorisert bruk av systemer skal registreres. Dokumentasjon skal lagres i minimum tre måneder. d) Tilgangskontroll til bygninger og utstyr brukt for behandling av personopplysninger. e) Virusbeskyttelse, søppelpostfiltre og brannmurer. f) Logging av kritiske systemoperasjoner. g) Rutiner for håndtering og dokumentasjon av sikkerhetsbrudd. Sikkerhetsbrudd skal dokumenteres, og dokumentasjon skal lagres så lenge det er nødvendig under gjeldende personvernlovgivning. h) Prosesser for sikkerhetskopiering og gjenoppretting av kritiske systemer og gjenopprettingstester. i) Trening og opplæring i informasjonssikkerhet og personvernsikkerhet. j) Kryptering av kommunikasjon.
Databehandler skal på forespørsel gjøre tilgjengelig informasjon som er nødvendig for å påvise etterlevelse av disse databehandlervilkårene. Databehandler skal muliggjøre og bidra til revisjoner, herunder inspeksjoner, gjennomført av Behandlingsansvarlig eller revisor som handler på fullmakt fra Behandlingsansvarlig. Gjennomføring og kostnadsfordeling for revisjoner skal avtales skriftlig mellom Partene før revisjonen finner sted.
Databehandler har Behandlingsansvarliges generelle godkjennelse til å bruke underleverandører som underdatabehandlere. Underdatabehandlere som er akseptert ved avtalens inngåelse fremgår av https://izy.no/underdatabehandlere/ eller slik annen nettadresse som Databehandler meddeler Behandlingsansvarlig.
Databehandler skal underrette Behandlingsansvarlig ved eventuelle planer om å skifte ut eller bruke nye underleverandører minimum én måned før endringen trer i kraft. Behandlingsansvarlig skal ha mulighet til å motsette seg endringene, og skal meddele dette til Databehandler senest to uker etter at varslingen er mottatt. Dersom Behandlingsansvarlig motsetter seg endringen, skal Partene bli enige om en alternativ løsning, og Behandlingsansvarlig skal bære eventuelle merkostnader for Databehandler ved en slik løsning. Databehandler skal inngå avtaler med underleverandører som pålegger forpliktelser tilsvarende dem Databehandler er pålagt etter disse databehandlervilkårene. Databehandler har overfor Behandlingsansvarlig fullt ansvar for sine underleverandører.
Databehandler kan kun overføre personopplysninger til et land utenfor EU/EØS (tredjeland) etter dokumenterte instrukser fra Behandlingsansvarlig. Databehandler skal sørge for at alle overføringer til egne underleverandører skjer på grunnlag av et gyldig overføringsgrunnlag i samsvar med kapittel V i personvernforordningen.
Disse databehandlervilkårene gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Punkt 3.4 gjelder også etter opphør av disse databehandlervilkårene.
Databehandler skal slette alle personopplysninger som i medhold av Lisensavtalen er behandlet på Behandlingsansvarliges vegne ved opphør av avtaleforholdet. Personopplysninger som Databehandler er rettslig forpliktet til å lagre, herunder opplysninger knyttet til regnskap, fakturering, historikk for Behandlingsansvarlig eller kontaktinformasjon, kan oppbevares så lenge det er nødvendig for å oppfylle slike forpliktelser. Databehandler skal ikke slette personopplysninger som Izy AS behandler i egenskap av behandlingsansvarlig, i den utstrekning det foreligger rettslig grunnlag og saklig behov for fortsatt lagring i samsvar med formålene opplysningene ble lovlig innsamlet for.
Databehandlervilkårene utgjør en integrert del av lisensavtalen mellom Partene. Bestemmelsene om mislighold, force majeure, overdragelse og tvisteløsning i lisensavtalen gjelder tilsvarende for behandling av personopplysninger etter disse databehandlervilkårene, med følgende presiseringer:
Partenes erstatningsansvar for skade som rammer den registrerte eller andre fysiske personer som følge av overtredelse av personvernforordningen, personopplysningsloven med tilhørende forskrifter eller annet regelverk som gjennomfører personvernforordningen, følger bestemmelsene i personvernforordningen art. 82. Dersom en Part fremmer regresskrav mot den andre Part, kommer lisensavtalens beløpsbegrensning for erstatningsansvar til anvendelse.
Partene er hver for seg ansvarlige for eventuelle overtredelsesgebyrer ilagt i henhold til personvernforordningen art. 83.
