Skip to content

Databehandleravtale (DPA)

Versjon 2.0 — Sist oppdatert 20. april 2026

Denne databehandleravtalen ("DPA" eller "Avtalen") regulerer behandling av personopplysninger mellom:

Behandlingsansvarlig: Kunden, som angitt i Oppdragsavtalen eller Tjenesteavtalen mellom partene ("Hovedavtalen").
Databehandler: RIN AS (Soverein IT), organisasjonsnummer 921 551 800, e-post: personvern@soverein.it

Dersom det ikke foreligger en Hovedavtale, gjelder denne DPA-en for alle tjenester og leveranser der RIN AS behandler personopplysninger på vegne av kunden, og oppfyller kravene i GDPR artikkel 28 nr. 3.

Ved motstrid mellom denne DPA-en og Hovedavtalen, har DPA-en forrang for alle forhold knyttet til behandling av personopplysninger.

1. Formål og omfang

RIN AS behandler personopplysninger på vegne av kunden som ledd i leveransen av tjenester beskrevet i Hovedavtalen. Behandlingen skjer utelukkende for å oppfylle avtalte formål, og RIN AS bestemmer ikke selv formålet med behandlingen.

Avhengig av oppdragets eller tjenestens art vil behandlingen falle inn under én eller flere av følgende kategorier:

  • Kategori 1 — Konsulenttjenester på kundens egne systemer: RIN AS utfører oppgaver i systemer og infrastruktur som eies og kontrolleres av kunden. All data forblir i kundens miljø, og RIN AS eier og kontrollerer ingen del av infrastrukturen.
  • Kategori 2 — Managed services på tredjepartssystemer: RIN AS administrerer og drifter tjenester på plattformer som eies av tredjepart, på kundens vegne. Relevante tredjeparter fremgår av Vedlegg A.
  • Kategori 3 — RIN AS skytjenester: RIN AS leverer tjenester fra infrastruktur som RIN AS leier eller eier. Underleverandører og lagringssted fremgår av Vedlegg A.

Gjeldende kategori(er) fremgår av Hovedavtalen.

2. Partenes roller og ansvar

  • Kunden (Behandlingsansvarlig) bestemmer formål og midler for behandlingen, og er ansvarlig for å ha gyldig behandlingsgrunnlag.
  • RIN AS (Databehandler) behandler personopplysninger utelukkende etter dokumenterte instrukser fra kunden, med mindre annet følger av lov.

Begge parter skal sikre at behandlingen skjer i samsvar med gjeldende personvernlovgivning, herunder GDPR slik den er gjennomført i norsk rett.

3. Kategorier av data

RIN AS behandler normalt følgende typer personopplysninger, avhengig av oppdraget:

  • Navn, e-postadresse, telefonnummer og brukernavn
  • IP-adresser og tekniske systemlogger
  • Autentiseringsopplysninger og tilgangsprofiler
  • Kontakt- og kundeopplysninger i kundens systemer
  • Andre opplysninger i de systemer RIN AS gis tilgang til som ledd i oppdraget

Kunden er ansvarlig for hvilke personopplysninger som finnes i de systemer RIN AS gis tilgang til. RIN AS behandler alle personopplysninger det kommer i kontakt med i samsvar med denne Avtalen, uavhengig av kategori.

4. Sikkerhet og konfidensialitet

RIN AS skal opprettholde et sikkerhetsnivå i samsvar med GDPR artikkel 32, tilpasset den risikoen behandlingen representerer.

For Kategori 1 (kundens infrastruktur) gjelder kundens egne sikkerhetspolicyer. RIN AS skal rette seg etter disse og informere kunden dersom disse vurderes som utilstrekkelige.

For Kategori 2 og 3 (RIN AS sin infrastruktur) gjennomføres blant annet følgende tiltak:

  • Tilgangsstyring med tofaktorautentisering
  • Kryptering av dataoverføring og lagring (TLS, AES-256)
  • Logging, sikkerhetskopiering og hendelseshåndtering
  • Regelmessige risikovurderinger

Alle personer med tilgang til personopplysninger er underlagt taushetsplikt.

5. Underleverandører (underdatabehandlere)

For Kategori 1 (kundens egne systemer) er det ingen underleverandører fra RIN AS sin side.

For Kategori 2 og 3 kan RIN AS benytte underleverandører (underdatabehandlere). En oppdatert oversikt fremgår av Vedlegg A til denne Avtalen.

Alle underleverandører er underlagt de samme forpliktelsene som i denne Avtalen. RIN AS er overfor kunden fullt ut ansvarlig for at underleverandørene oppfyller sine forpliktelser.

Dersom RIN AS ønsker å ta i bruk en ny underleverandør, skal kunden varsles i forkant. Kunden har rett til å protestere mot bruken av nye underleverandører innen 14 dager etter varsel. Endringer i Vedlegg A trer ikke i kraft før kunden har bekreftet disse skriftlig.

6. Overføring til tredjeland

All behandling skjer som hovedregel innenfor EU/EØS. Dersom data overføres utenfor EU/EØS, skal overføringen baseres på et gyldig overføringsgrunnlag, eksempelvis EUs standard kontraktsbestemmelser (SCC). Gjeldende overføringer fremgår av Vedlegg A.

7. Bistand til kunden

RIN AS skal, i den grad det er rimelig og mulig, bistå kunden med å:

  • besvare forespørsler fra registrerte (innsyn, retting, sletting, portabilitet mv.)
  • gjennomføre vurderinger av personvernkonsekvenser (DPIA)
  • håndtere personvernbrudd i samsvar med GDPR artikkel 33 og 34

8. Varsling ved sikkerhetsbrudd

Ved brudd på personopplysningssikkerheten skal RIN AS uten ugrunnet opphold, og senest innen 36 timer, varsle kunden med:

  • beskrivelse av hendelsen og dens art
  • hvilke opplysninger og registrerte som er berørt
  • mulige konsekvenser
  • tiltak iverksatt for å begrense skade og forhindre gjentakelse

Kunden er ansvarlig for å varsle Datatilsynet og berørte registrerte i henhold til GDPR artikkel 33 og 34. RIN AS bistår etter behov.

9. Revisjon og dokumentasjon

RIN AS skal på forespørsel gjøre tilgjengelig dokumentasjon som viser at Avtalen overholdes. Revisjon kan gjennomføres én gang per år etter fire ukers forhåndsvarsel, på kundens kostnad. Tredjepartsrevisjoner (f.eks. ISO 27001-sertifisering) kan benyttes som tilstrekkelig dokumentasjon.

10. Varighet, sletting og tilbakelevering

Avtalen gjelder så lenge RIN AS behandler personopplysninger på vegne av kunden.

For Kategori 1: RIN AS skal ved opphør av oppdraget fjerne sine tilganger til kundens systemer og bekrefte dette skriftlig.

For Kategori 2 og 3: Ved opphør skal alle personopplysninger returneres til kunden i egnet format og deretter slettes permanent innen 90 dager, med dokumentert bekreftelse.

Unntak gjelder dersom lovgivningen påkrever videre oppbevaring.

11. Ansvar og begrensninger

Hver part er ansvarlig for egne handlinger og forpliktelser etter gjeldende lov. RIN AS er ikke ansvarlig for behandling som skjer utenfor dokumenterte instrukser. Ansvarsgrenser følger av Hovedavtalens bestemmelser.

12. Forholdet til Hovedavtalen

Denne DPA-en utfyller Hovedavtalen og gjelder parallelt med denne. Ved motstrid knyttet til behandling av personopplysninger, har DPA-en forrang. Dersom Hovedavtalen opphører, opphører også denne DPA-en, med unntak av forpliktelser som etter sin natur skal bestå, herunder taushetsplikt og sletteplikter.

13. Lovvalg og tvister

Avtalen er underlagt norsk rett. Eventuelle tvister skal søkes løst gjennom dialog.
Dersom dette ikke lykkes, avgjøres saken ved Oslo tingrett.

Vedlegg A — Underleverandører (underdatabehandlere)

Dette vedlegget gjelder kun for Kategori 2 og 3 (behandling på RIN AS sin infrastruktur). Vedlegget oppdateres løpende og gjøres tilgjengelig for kunden ved forespørsel eller endringer.

Gjeldende versjon er tilgjengelig på: soverein.it/vilkar/leverandorer/

Bekreftelse og signering

Denne DPA-en trer i kraft når kunden har bekreftet aksept. Bekreftelse kan skje på én av følgende måter:

  • E-postbekreftelse: kunden mottar DPA-en og svarer bekreftende per e-post til personvern@soverein.it. E-posten arkiveres som dokumentasjon.
  • Elektronisk signering: DPA-en sendes til signering via elektronisk signeringstjeneste.

Der DPA-en inngår som del av en Hovedavtale, anses kundens signering av Hovedavtalen som aksept av denne DPA-en.