Databehandleravtale

Databehandleravtale (DPA) for tjenesten Efirma.no

Denne Avtalen regulerer behandlingen av personopplysninger som Efremtid AS utfører på vegne av Kunder som benytter tjenesten Efirma.no. Den utgjør en integrert del av Vilkårene og gjelder alltid når Efremtid AS opptrer som databehandler.

Parter

Formålet med behandlingen

Efremtid AS behandler personopplysninger utelukkende for å levere og forbedre regnskapstjenesten Efirma.no, aldri til egne formål. Typiske formål omfatter:

• føring av regnskap for virksomheter;
• fakturering og håndtering av EHF-fakturaer;
• generering og innsending av MVA-meldinger, A-meldinger, årsregnskap og lignende rapporter;
• oversendelse av rapporter til Altinn, Skatteetaten og andre tjenester etter Kundens instruksjon;
• brukerstøtte og service knyttet til tjenesten.

Efremtid AS behandler aldri personopplysninger for egne, uavhengige formål.

Kategorier av opplysninger og registrerte

Registrerte: Kunden og dennes personell som benytter tjenesten, Kundens ansatte, Kundens forretningsforbindelser (leverandører og kunder), eiere og styremedlemmer i Kundens selskap.

Opplysninger: fornavn, etternavn, adresse, e-post, telefon, fødselsnummer / D-nummer, organisasjonsnummer, bankkontonummer, lønns- og skatteopplysninger (skattekort), opplysninger fra fakturaer og andre regnskapsbilag, systemmetadata, innloggingsdata. Behandling av fødselsnummer og andre entydige identifikatorer skjer i samsvar med personopplysningsloven §12 – kun når det foreligger et saklig behov for sikker identifisering.

Efirma.no er som hovedregel ikke ment for behandling av særlige kategorier av personopplysninger (personvernforordningen art. 9) – med unntak av opplysninger som er nødvendige for lønns- og personaladministrasjon, hvor rettsgrunnlaget er personopplysningsloven §6 (behandling av særlige kategorier av personopplysninger i arbeidsforhold).

Underdatabehandlere

For å sikre en trygg og skalerbar plattform benytter Efremtid AS pålitelige underdatabehandlere som behandler personopplysninger utelukkende på vegne av Efremtid AS og i samsvar med denne Avtalen:

• Leverandør av serverinfrastruktur (EØS): hosting av applikasjon, databaser og lagring. Dataene oppbevares innenfor EØS, krypteres i hvile og under overføring.
• Operatør av EHF-aksesspunkt (Norge / EØS): sending og mottak av fakturaer i EHF-format.
• Leverandør av transaksjonsbasert e-posttjeneste (EØS): utsendelse av fakturaer, varsler og påminnelser til brukerne.
• Leverandør av sikkerhetskopiering og overvåking (EØS): sikkerhetskopiering, overvåking av tilgjengelighet og applikasjonsfeil.

Alle underdatabehandlere er bundet av avtaler som sikrer minst samme nivå av personvern som denne Avtalen. Oppdatert liste med nøyaktige navn og adresser kan fås ved henvendelse til info@efirma.no.

Behandlingssted og overføringer

Efremtid AS sørger for at all behandling skjer innenfor EU/EØS. Dersom opplysninger i unntakstilfeller overføres til tredjeland, benyttes rettslig bindende overføringsmekanismer, som EUs standard personvernbestemmelser (SCC) eller beslutninger om tilstrekkelig beskyttelsesnivå.

Tekniske og organisatoriske tiltak

Efremtid AS implementerer tekniske og organisatoriske tiltak som beskytter konfidensialiteten, integriteten og tilgjengeligheten av opplysningene, herunder:

• kryptert dataoverføring (TLS) og kryptering av sikkerhetskopier;
• hashing av brukerpassord;
• regelmessige sikkerhetskopier og rutiner for gjenoppretting etter hendelser;
• hendelsesovervåking, logging og sikkerhetsvarsler;
• taushetsplikt for alt personell;
• regelmessige sikkerhetsoppdateringer og systemgjennomganger;
• fysisk sikring av datasentre levert av infrastrukturleverandørene.

Brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten vil Efremtid AS varsle Kunden uten ugrunnet opphold, senest innen 48 timer etter at bruddet er avdekket, med opplysninger om bruddets art, mulige konsekvenser og iverksatte tiltak. Plikten til å melde bruddet til Datatilsynet og til de registrerte påhviler Kunden som Behandlingsansvarlig.

Bistand til Kunden

Efremtid AS bistår Kunden, så langt det er mulig og hensett til tjenestens art, med å oppfylle de registrertes rettigheter (personvernforordningen art. 15–22) og forpliktelsene etter personvernforordningen art. 32–36 – gjennom funksjoner i tjenesten som muliggjør eksport, endring og sletting av opplysninger.

Revisjon

Kunden har rett til å verifisere at Efremtid AS overholder forpliktelsene etter denne Avtalen. Efremtid AS skal stille nødvendig dokumentasjon og informasjon til rådighet. Revisjoner kan gjennomføres etter avtale og med rimelig varsel, på en måte som ikke forstyrrer Efremtid AS' ordinære virksomhet.

Kunden bærer alle kostnader forbundet med gjennomføringen av revisjonen, herunder særlig kostnader til eksterne revisorer, organisatoriske kostnader samt enhver kostnad Efremtid AS pådrar seg i forbindelse med forberedelse og deltakelse i revisjonen. På anmodning fra Efremtid AS skal Kunden refundere alle rimelige kostnader Efremtid AS har pådratt seg, før revisjonen påbegynnes.

Lagring og sletting av opplysninger

Efremtid AS lagrer personopplysninger så lenge det er nødvendig for å oppfylle de avtalte formålene, eller så lenge Kunden har en aktiv konto. Etter Avtalens opphør slettes eller tilbakeleveres opplysningene til Kunden innen den alminnelige foreldelsesfristen – 3,5 år, med unntak av i den utstrekning videre lagring er pålagt etter norsk rett (bokføringsloven – 5 år for regnskapsdokumentasjon).

Ansvar og lovvalg

Partene er ansvarlige for skade i samsvar med personvernforordningen art. 82. Efremtid AS' ansvar er begrenset til vederlaget betalt i 12-månedersperioden forut for hendelsen. Avtalen er underlagt norsk rett, særlig personopplysningsloven; tvister avgjøres av verneting der Efremtid AS har sitt forretningssted.

Oppdateringer

Efremtid AS kan oppdatere denne Avtalen. Den til enhver tid gjeldende versjon er tilgjengelig på efirma.no.