Brukervilkår

Sist oppdatert: 31. august 2022

Disse brukervilkårene ("Brukervilkårene") gjelder for all tilgang til og bruk av Manymore.com AS ("Manymore", "vi" eller "oss") sin tjeneste. Brukervilkårene gjelder mellom deg som har opprettet en kandidat- eller organisasjonsprofil ("Brukeren" eller "du") og Manymore. 

Brukervilkårene, samt Ordrebekreftelsen og Abonnementsvilkårene (når anvendelig) utgjør i fellesskap "Avtalen". 

Ved å opprette en brukerprofil hos Manymore aksepterer du vilkårene og betingelsene i sin helhet. Du kan når som helst slette din profil og stanse deling av data. 

  1. Beskrivelse av tjenesten 

De tjenester Manymore tilbyr er til enhver tid tilgjengelig på rightperson.com ("Tjenesten"). 

Tjenesten omfatter flere forskjellige tjenester, blant annet gis organisasjoner mulighet til å invitere aktuelle kandidater til å laste opp politiattester og annen dokumentasjon slik at Manymore kan lagre, analysere og dele kandidatens personopplysninger med organisasjonen. Organisasjonen kan videre lagre nødvendig dokumentasjon i Tjenesten.  

For å kunne ta i bruk Tjenesten, enten som organisasjon eller kandidat, må du opprette en brukerprofil og akseptere Brukervilkårene. 

  1. Registrering

For å benytte Tjenesten, må du registrere en brukerprofil. Slik registrering er gratis. 

Du administrerer egne personalia og kontaktinformasjon direkte i Tjenesten. Du er ansvarlig for at all informasjon du gir Manymore er korrekt, nøyaktig og fullstendig, samt for å holde informasjonen oppdatert til enhver tid. 

Brukernavn og passord tilknyttet din brukerkonto er strengt personlig. Du er ansvarlig for å påse at ditt passord ikke på noe tidspunkt gjøres tilgjengelig for andre, og er klar over at du kan bli holdt ansvarlig for all aktivitet tilknyttet din brukerkonto. Ved mistanke om at andre har tilgang til ditt passord eller brukerkonto plikter du umiddelbart å varsle Manymore om dette.  

  1. Ansvar for innhold og bruk

Vi er ikke ansvarlig for innholdet som deles eller innsamles gjennom tjenesten. Du er selv ansvarlig for at innholdet ikke:

  • Er misvisende, villedende eller på andre måter feilaktig;
  • Krenker noen andres personvern eller immaterielle rettigheter;
  • Virker støtende eller krenkende

Innhold som faller inn under noen av de ovennevnte kategoriene vil kunne bli fjernet fra tjenesten etter forutgående varsel. Din konto kan bli deaktivert midlertidig eller permanent ved brudd på denne bestemmelsen. 

Du er også ansvarlig for at du ikke benytter tjenesten på en måte som krenker andres personvern.

  1. Personopplysninger

For å kunne levere tjenesten, behandler vi ulike personopplysninger:

  • Kandidater: navn, kontaktopplysninger, fødsels- og personnummer
  • Organisasjoner: navn og kontaktopplysninger

 Vi behandler personopplysninger i henhold til vår personvernerklæring.

For data du velger å laste opp i Tjenesten er vi databehandler. Vi behandler kun disse opplysningene i tråd med databehandleravtalen inngått med deg (Vedlegg 1). 

Vi bruker i tillegg informasjonskapsler (cookies) for å tilpasse tjenesten til brukeren, og til å føre statistikk over hvordan tjenesten brukes. Her finner du en fullstendig oversikt over alle informasjonskapslene vi bruker

  1. Endringer i Tjenesten

Manymore forbeholder seg retten til å foreta regelmessige oppdateringer av tjenesten uten forutgående varsel. Slike oppdateringer inkluderer ikke nødvendigvis alle funksjonene som var tilgjengelig i den tidligere versjonen.

Dersom vi gjør endringer i funksjonalitet og/eller innhold som vesentlig forringer Tjenesten, skal dette behandles som en endring av Avtalen. Slik endring vil varsles minst 30 dager før endringene trer i kraft. 

  1. Brukslisens

Vi eier alle rettighetene til tjenesten. Dette inkluderer, men er ikke begrenset til konseptet, designet, varemerkene, know-how, forretningshemmeligheter, opphavsrett og øvrige immaterielle rettigheter. 

Ved aksept av disse vilkårene er du gitt en bruksrett til tjenesten, begrenset til de funksjonene som er gjort tilgjengelig for deg til enhver tid og som er nødvendig for å bruke Tjenesten. Bruksretten gir ikke rett til å modifisere, reprodusere, kopierer eller etterligne programvaren eller øvrige deler av tjenesten. 

  1. lovlig bruk

Du er ansvarlig for å påse at all bruk av Tjenesten skjer i henhold til disse Brukervilkårene, samt relevant lovgivning og allment aksepterte normer for forsvarlig atferd. 

Dette innebærer blant annet at du ikke skal bruke Tjenesten:

  1. På noen måte som forårsaker svekkelse av ytelse eller tilgjengelighet i Tjenesten;
  2. På noen måte som er ulovlig, bedragersk eller skadelig for noen av partene;
  3. Til å ta ut eller innhente informasjon eller data om andre bruker uten deres samtykke;
  4. Til å overføre eller poste ulovlig, umoralsk, injurierende, krenkende, truende, vulgært eller uanstendig materiale;
  5. Til å kopiere, lagre, overføre, sende, bruke, publisere eller omdistribuere materiale som inneholder programvarevirus eller annen skadelig datakode, filer, skript eller programmer; eller
  6. Til å forsøke å få uautorisert tilgang til Tjenesten.

Du skal heller ikke:

  1. Dekompilere eller på annen måte forsøke å oppnå eller få tilgang til kildekoden til programvarekomponenter i Tjenesten;
  2. Opptre på en måte som er upassende ovenfor andre;
  3. Opptre på en måte som er egnet til å skade Manymore; eller
  4. For øvrig opptre i strid med disse Brukervilkårene.

Dersom vi har grunn til å tro at du har brutt disse Brukervilkårene, eller for øvrig opptrådt på en ulovlig eller straffbar måte i tilknytning til Tjenesten, forbeholder vi oss retten til umiddelbart, uten forutgående varsel, å slette, suspendere eller begrense din bruk av eller tilgang til Tjenesten, permanent eller midlertidig. 

  1. Lenker til andre nettsider

Gjennom bruk av Tjenesten vil du finne lenker til andre nettsteder som ikke er eid av oss. Bruk av disse tredjepartsnettsidene er underlagt de respektive brukervilkårene for hver tjeneste. Du forstår og er enig i at Manymore ikke er ansvarlig for innholdet på disse nettsidene. 

  1. avslutning av konto

Du kan når som helst avslutte din brukerkonto ved å sende en epost til support@rightperson.com

  1. Endringer av brukervilkårene og pris

Dersom vi oppdaterer disse Brukervilkårene, vil du bli varslet om slike endringer minst 30 dager før endringene trer i kraft. Slik informasjon vil bli gitt på din registrerte mailadresse. Ved å fortsette å bruke Tjenesten etter endringene har tredd i kraft, godtar du endringene.  

Vi forbeholder oss retten til å endre prisen på Tjenesten. Ved eventuelle prisendringer vil vi varsle deg på din registrerte mailadresse. Prisendringer for abonnementer trer i kraft ved begynnelsen av neste abonnementsperiode, dog ikke med kortere varsel enn to måneder. 

Ved å fortsette å bruke Tjenesten etter at prisendringen trer i kraft, godtar du den nye prisen.

  1. avtalebrudd

Manglende overholdelse av en parts plikter i henhold til Avtalen utgjør mislighold av Avtalen. Den misligholdende part skal innen rimelig tid og for egen regning utbedre misligholdet. 

Begge parter kan si opp Avtalen dersom den annen part vesentlig misligholder Avtalen og slikt mislighold ikke utbedres innen 30 dager etter at den misligholdende part ble varslet om slikt mislighold av den annen part.

  1. ansvarsbegrensning

Brukeren aksepterer at Tjenesten fra tid til annen kan være helt eller delvis utilgjengelig som følge av blant annet vedlikehold. Manymore garanterer ikke for Tjenestens tilgjengelighet, men vil i rimelig utstrekning foreta vedlikehold og egnede tekniske tiltak for å tilby Tjenesten.

Ingen av partene er ansvarlig for den annens parts økonomiske tap, herunder upåregnelige, indirekte eller konsekvenstap av noe slag, inkludert men ikke begrenset til fortjenestetap, tap av data, tap av omsetning, tap av kunder, eller erstatningskrav fra tredjeparter. 

Ansvarsbegrensningene ovenfor gjelder likevel ikke dersom misligholdet skyldes grov uaktsomhet eller forsett fra den misligholdende part. 

  1. Ingen garantier

Selv om vi forsøker etter beste evne å levere Tjenesten, blir Tjenesten levert "som den er" uten eksplisitte eller indirekte garantier av noe slag, med mindre annet følger av norsk lov. Du er selv ansvarlig for din bruk av Tjenesten. 

  1. hele avtalen

Disse vilkårene, samt vedleggene, utgjør hele avtalen mellom deg og oss, og erstatter alle eventuelle tidligere avtaler.

  1. Tvister

Denne Avtalen er underlagt og skal tolkes i samsvar med norsk lov. Partene skal søke å løse enhver uenighet eller tvist vedrørende Avtalen i minnelighet. Oslo tingrett er verneting for tvister som ikke lar seg løse i minnelighet. 

  1. Henvendelser

Manymore.com AS
Org.nr. 923 004 114
Pilestredet 17
0164 OSLO


Vedlegg 1: Databehandleravtale

mellom brukeren av Tjenesten ("Behandlingansvarlig") og Manymore.com AS ("Databehandler"). 

  1. Innledning

Behandlingansvarlig har ved å ta Tjenesten i bruk godtatt Databehandlerens Brukervilkår. For å kunne yte Tjenesten, vil Databehandleren behandle Personopplysninger på vegne av Behandlingansvarlig. Dette avtaledokumentet utgjør databehandleravtalen mellom partene, og vil i det følgende omtales som "Databehandleravtalen".  

Formålet med Databehandleravtalen er å regulere rettigheter og plikter i henhold til gjeldende Personvernlovgivning i forbindelse med Databehandlers behandling av Personopplysninger på vegne av Behandlingsansvarlig. Databehandleravtalen skal sikre at Personopplysninger behandles i samsvar med Personvernlovgivning og ikke benyttes på en lovstridig måte eller at uautoriserte parter får tilgang til Personopplysningene.

Ved motstrid mellom Avtalen og Databehandleravtalen, har Databehandleravtalen forrang når det gjelder forhold spesifikt knyttet til behandling av personopplysninger.

  1. Definisjoner

Med "Personvernlovgivning" siktes det til EU-forordning 2016/679 ("GDPR"), og til enhver tid gjeldende nasjonal lovgivning relatert til personvern, herunder lovgivning som implementerer eller supplerer GDPR. 

Med "Personopplysninger" menes enhver opplysning om en identifisert eller identifiserbar fysisk person (de "Registrerte").

Med "Tredjeland" menes land utenfor EU/EØS.

Med "Underdatabehandler" menes underleverandører som engasjeres av Databehandler for å behandle personopplysninger under denne Databehandleravtalen.

For personvernbegreper som ikke er definert i denne Databehandleravtalen gjelder definisjonene i GDPR artikkel 4.

  1. BEHANDLINGSANSVARLIGES RETTIGHETER OG PLIKTER

Den Behandlingsansvarlige har rett og plikt til å bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. 

Den Behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med Personvernlovgivningen. Den Behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som Databehandleren instrueres om å gjøre.

  1. OMFANGET AV BEHANDLINGEN
  1. Generelt

Databehandler, dennes Underdatabehandlere og andre som på vegne av Databehandler utfører oppdrag og har tilgang til Personopplysningene, skal behandle Personopplysningene kun på vegne av Behandlingsansvarlig og i henhold til Avtalen, denne Databehandleravtalen og Behandlingsansvarliges dokumenterte instrukser. Hvis annen behandling er nødvendig for å oppfylle forpliktelser som Databehandler er underlagt i henhold til gjeldende rett, skal Databehandleren underrette den Behandlingsansvarlige så langt dette er tillat ved lov.

Databehandler skal omgående underrette Behandlingsansvarlig dersom Databehandler mener en instruks er i strid med Personvernlovgivningen.

Databehandleren skal føre protokoll over behandlingsaktiviteter på vegne av Behandlingsansvarlig i tråd med GDPR Artikkel 30.

  1. Oversikt over behandlingen

Behandlingens art og formål er å innhente og lagre informasjon og dokumentasjon den Behandlingsansvarlige laster opp i Tjenesten, slik at i) den Behandlingsansvarlige kan laste opp og lagre nødvendig informasjon i Tjenesten, ii) Databehandleren kan innhente nødvendig informasjon på vegne av den Behandlingsansvarlige, og/eller iii) tredjeparter som har behov for nevnte informasjon og dokumentasjon kan hente den ut der den Behandlingsansvarlige samtykker til det. 

Behandlingen gjelder navn, fødselsnummer, adresse, og annen informasjon om den Behandlingsansvarlige som fremgår av dokumentasjonen den Behandlingsansvarlige laster opp i Tjenesten. 

  1. Taushetsplikt

Databehandler, dennes Underdatabehandlere og andre som på vegne av Databehandler utfører oppdrag og har tilgang til Personopplysningene, er underlagt taushetsplikt og skal etterleve taushetsplikten i forbindelse med behandling av Personopplysninger i henhold til gjeldende Personvernlovgivning. Databehandler har ansvaret for at Underdatabehandlere og andre som opptrer på vegne av Databehandler er underlagt slik taushetsplikt. Taushetsplikten gjelder også etter Databehandleravtalens opphør.

  1. Sikkerhet

Databehandler skal treffe alle tiltak som er nødvendig i henhold til GDPR artikkel 32, herunder gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak med formål å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen for å oppnå et egnet sikkerhetsnivå. 

Databehandler skal vurdere egnet sikkerhetsnivå og ta hensyn til risikoene forbundet med behandlingen, herunder risiko for utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering eller tilgang til Personopplysninger som er overført, lagret eller på annen måte behandlet.

All overføring av Personopplysninger mellom Databehandler og Behandlingsansvarlig eller mellom Databehandler og en tredjepart skal gjøres ved bruk av tilstrekkelige sikkerhetstiltak, eller som avtalt mellom partene.

Bilag 1 inneholder en generell beskrivelse av de tekniske og organisatoriske tiltak som skal iverksettes av Databehandler. 

Databehandleren skal også bistå den Behandlingsansvarlige med å overholde den Behandlingsansvarliges plikter etter GDPR artikkel 32, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for Databehandleren. Den behandlingsansvarlige skal bære alle kostnader i forbindelse med slik bistand. 

  1. Tilgang til personopplysninger og oppfyllelse av de registrertes rettigheter

Med mindre annet er avtalt eller følger av gjeldende lovgivning, skal Behandlingsansvarlig ha rett til å kreve tilgang til Personopplysninger som behandles av Databehandler på vegne av Behandlingsansvarlig. Den Behandlingsansvarlige skal bære alle kostnader i forbindelse med slik tilgang, med mindre tilgangen er tilgjengelig som en del av Tjenesten. 

Dersom Databehandler eller Underdatabehandler mottar en forespørsel fra Registrerte om behandlingen av Personopplysninger, skal Databehandler videresende forespørselen til Behandlingsansvarlig, med mindre Databehandler etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen. 

Databehandler skal bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som de Registrerte inngir for å utøve sine rettigheter fastsatt i Personvernlovgivningen. Dette omfatter blant annet de registrertes rett til innsyn, retting, sletting, begrensning, protest og dataportabilitet.

  1. Annen bistand til behandlingsansvarlig

Dersom Databehandler eller en Underdatabehandler mottar en forespørsel fra relevant tilsynsmyndighet for innsyn i eller informasjon om registrerte Personopplysninger eller behandlingsaktiviteter omfattet av denne Databehandleravtalen, skal Databehandler varsle Behandlingsansvarlig om forespørselen, med mindre Databehandler etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen.

Dersom Behandlingsansvarlig er forpliktet til å gjennomføre en vurdering av personvernkonsekvenser og/eller gjennomføre forhåndsdrøftelser med relevant tilsynsmyndighet i forbindelse med behandlingen av Personopplysninger under denne Databehandleravtalen, skal Databehandler bistå Behandlingsansvarlig.

  1. Melding om sikkerhetsbrudd

Databehandler skal underrette Behandlingsansvarlig uten ugrunnet opphold, og senest innen 36 timer, etter å ha fått kjennskap til et brudd på sikkerheten ved behandlingen av Personopplysninger ("Sikkerhetsbrudd"). Behandlingsansvarlig er ansvarlig for å melde Sikkerhetsbrudd til relevant tilsynsmyndighet.

Underretningen til Behandlingsansvarlig skal som et minimum beskrive (i) arten av Sikkerhetsbruddet, herunder, når det er mulig, kategoriene av og omtrentlig antall Registrerte og Personopplysninger som er berørt, (ii) de sannsynlige konsekvensene av Sikkerhetsbruddet, (iii) de tiltak som Databehandler har truffet eller foreslår å treffe for å håndtere Sikkerhetsbruddet, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av Sikkerhetsbruddet.

Dersom Behandlingsansvarlig er forpliktet til å underrette de Registrerte om Sikkerhetsbrudd, skal Databehandler bistå Behandlingsansvarlig med dette, herunder skaffe til veie, hvis tilgjengelig, nødvendig kontaktinformasjon til de Registrerte som er berørt.

  1. Bruk av underdatabehandler

Databehandleren har den Behandlingsansvarliges generelle godkjennelse til å benytte Underdatabehandlere. Databehandler skal til enhver tid ha en oppdatert liste med oversikt over navn og kontaktinformasjon til alle Underdatabehandlere og steder Underdatabehandlere behandler Personopplysninger på vegne av Behandlingsansvarlig, som skal gjøres tilgjengelig på forespørsel fra Behandlingsansvarlig. 

Databehandler skal sikre at Databehandlerens forpliktelser som er fastsatt i Databehandleravtalen og Personvernlovgivningen pålegges Underdatabehandlere gjennom skriftlig avtale. Databehandler skal være fullt ut ansvarlig overfor Behandlingsansvarlig for at Underdatabehandlere oppfyller sine forpliktelser.

  1. Overføring til tredjeland

Overføring av Personopplysninger til Tredjeland kan bare gjennomføres dersom Behandlingsansvarlig har forhåndssamtykket til dette. Overføring til Tredjeland krever også at Tredjelandet har et tilstrekkelig beskyttelsesnivå i tråd med GDPR og at EUs standardvilkår inngås, eller at det foreligger annet lovlig rettslig grunnlag for slik overføring. Dersom det er krav til ytterligere tiltak i henhold til Personvernlovgivningen, skal dette inngås, også dersom dette etter Behandlingsansvarliges skjønn er nødvendig å inngå. 

Databehandler skal bistå Behandlingsansvarlige med dets risikovurdering av bruken av Underdatabehandlere og/eller overføringen av Personopplysninger til et Tredjeland, samt vurdering av om overføringen er lovlig, herunder vurdere om Tredjelandet sikrer et tilstrekkelig beskyttelsesnivå, om det er behov for å implementere ytterligere tiltak, hvilke ytterligere tiltak som er nødvendig å implementere, samt fremskaffe dokumentasjon på at nødvendige ytterligere tiltak kan implementeres.

  1. Revisjoner

Databehandler er forpliktet til å gi Behandlingsansvarlig dokumentasjon på gjennomførte tekniske og organisatoriske tiltak for å sikre et egnet sikkerhetsnivå, samt annen informasjon som er nødvendig for å dokumentere at Databehandler oppfyller sine forpliktelser etter denne Databehandleravtalen og Personvernlovgivningen.

Behandlingsansvarlig og relevant tilsynsmyndighet har rett til å gjennomføre revisjoner, herunder inspeksjoner og evaluering av Personopplysninger som behandles, systemene som benyttes til dette formål, gjennomførte tekniske og organisatoriske sikkerhetstiltak, inkludert sikkerhetsinstrukser etc., samt Underdatabehandlere. 

Dersom Behandlingsansvarlig utpeker en ekstern revisor til å gjennomføre revisjonen, skal revisoren være bundet av en plikt til konfidensialitet. 

Behandlingsansvarlig skal dekke kostnader knyttet til revisjoner som er initiert av Behandlingsansvarlig. 

  1. Varighet og opphør

Databehandleravtalen gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig. 

Dersom Databehandler bryter Databehandleravtalen eller ikke oppfyller sine forpliktelser etter Personvernlovgivningen, kan Behandlingsansvarlig (i) pålegge Databehandleren å stanse videre behandling av Personopplysninger med øyeblikkelig virkning, og/eller (ii) avslutte Databehandleravtalen med øyeblikkelig virkning.

  1. Konsekvenser ved opphør

Ved opphør av Databehandleravtalen skal Databehandler, som angitt av Behandlingsansvarlig, enten slette eller returnere alle Personopplysningene til Behandlingsansvarlig, inkludert kopier og back-up, med mindre annet er fastsatt i gjeldende lovgivning.

Databehandler skal skriftlig dokumentere overfor Behandlingsansvarlig at sletting har funnet sted i samsvar med Databehandleravtalen og som angitt av Behandlingsansvarlig.

  1. Varsler og endringer

Alle varsler knyttet til Databehandleravtalen skal sendes skriftlig til den oppgitte epostadressen.

I tilfelle endringer i Personvernlovgivningen, dersom dom eller uttalelse fra kompetent myndighet eller annen autoritativ kilde medfører en endret tolkning av Personvernlovgivningen, eller dersom det gjøres endringer i leveransen av tjenesten under Avtalen som krever endringer i Databehandleravtalen, skal partene samarbeide for å oppdatere Databehandleravtalen tilsvarende. 

Enhver endring eller tillegg til denne Databehandleravtalen skal skje skriftlig og undertegnes av begge parter.

Bilag 1 til databehandleravtalen: krav til informasjonssikkerhet

Fysisk tilgangskontroll

Databehandler skal iverksette forholdsmessige tiltak for å hindre uautorisert fysisk tilgang til Databehandlers eiendom og lokaler hvor det oppbevares eller behandles Personopplysninger. Tiltakene skal inkludere:

• Prosedyrer og/eller fysiske systemer for tilgangskontroll, herunder vakthold

• Automatisk dørlåsing eller andre tiltak for elektroniske tilgangskontroll

• Alarmsystem, videoovervåkning eller lignende tiltak

• Loggføring av besøkende i lokalet

• ID, nøkkel eller andre krav for adgang til lokalene

Tilgangsstyring for systemer

Databehandler skal iverksette forholdsmessige tiltak for å hindre uautorisert tilgang til systemer hvor det oppbevares Personopplysninger. Tiltakene skal inkludere:

• Prosedyrer for passordbeskyttelse (herunder f.eks. krav til lengde og bruk av spesialtegn, regelmessig endring av passord etc.)

• Tilgang til systemer kreve godkjenning fra HR eller IT-administratorer

• Gjestebrukere og anonyme brukere nektes adgang til systemer

• Sentral administrasjon av systemtilgang

• Rutiner for manuell låsing av PC når man forlater arbeidsstasjon, og automatisk låsing etter maksimalt 5 minutter

• Restriksjoner på bruk av utskiftbare medier, som f.eks. minnepinner, CD/DVD eller flyttbare harddisker, samt krav til kryptering

Tilgangsstyring for Personopplysninger

Databehandler skal iverksette forholdsmessige tiltak for å hindre i utgangspunktet autoriserte brukere tilgang til Personopplysninger som det ligger utenfor deres autorisasjon å behandle, for å hindre blant annet uautorisert tilgang, fjerning, modifikasjon eller utlevering av Personopplysninger. Tiltakene skal inkludere: 

• Bare ansatte og andre med tjenstlig behov skal ha tilgang til Personopplysningene

• Differensierte tilgangsrettigheter definert basert på arbeidsoppgaver

• Automatisk loggføring av brukertilgang i IT-systemer

Kontroll over oppføring, endring etc. av Personopplysninger

Databehandler skal iverksette forholdsmessige tiltak for å kontrollere og stadfeste hvorvidt og av hvem Personopplysninger har blitt ført inn i systemet, modifisert eller fjernet. Tiltakene skal inkludere: 

• Differensierte tilgangsrettigheter definert basert på arbeidsoppgaver

• Automatisk loggføring av brukertilgang i IT-systemer, og regelmessig gjennomgang av sikkerhetslogger for å avdekke og følge opp potensielle sikkerhetshendelser

• Sikre at det er mulig å verifisere og stadfeste til hvilke tredjeparter Personopplysninger kan ha, eller har blitt, utlevert ved bruk av elektronisk kommunikasjonsutstyr

• Sikre at det er mulig å verifisere og stadfeste hvilke Personopplysninger som har blitt oppført i systemet, endret eller slettet, samt når og av hvem

Kontroll over utlevering av Personopplysninger

Databehandler skal iverksette forholdsmessige tiltak for å hindre uautorisert tilgang, modifisering eller fjerning av Personopplysninger ved overføring. Tiltakene skal inkludere:

• Bruk av "state of the art" kryptering på all elektronisk overføring av Personopplysninger

• Kryptering ved bruk av VPN for fjerntilgang, transport og kommunikasjon av Personopplysninger

• Lage revisjonsspor for all utlevering av Personopplysninger

• Obligatorisk bruk av heleid, privat nettverk for overføring av Personopplysninger

Tilgjengelighetskontroll 

Databehandler skal iverksette forholdsmessige tiltak for å sikre at Personopplysninger er beskyttet mot tilfeldig ødeleggelse eller tap. Tiltakene skal inkludere:

• Regelmessig back-up av Personopplysninger

• Fjernlagring 

• Bruk av virus-beskyttelse/brannvegg

• Overvåkning av systemer for å avdekke virus etc. 

• Sikre at funksjonsfeil/maskinfeil ikke kan medføre at lagrede Personopplysninger ødelegges 

• Sikre at installerte systemer kan gjenopprettes i tilfelle av forstyrrelser

• Avbruddsfri strømtilførsel

• Prosedyrer for å sikre virksomhetskontinuitet (Business Continuity)

Kontroll med at Personopplysninger holdes atskilt

Databehandler skal iverksette forholdsmessige tiltak for å sikre at Personopplysninger som er samlet inn for forskjellige formål, også behandles atskilt. Tiltakene skal inkludere: 

• Differensierte tilgangsrettigheter definert basert på arbeidsoppgaver

• Atskilte IT-systemer

Trening og bevissthet

Databehandler skal iverksette tiltak for å sikre at alle ansatte har opplæring i kravene til Personvernlovgivningen, samt informasjonssikkerhet, gjennom blant annet å ha: 

• Entydig og klar regulering i arbeidsavtaler på konfidensialitet, sikkerhet og krav til etterlevelse av interne rutiner

• Interne rutiner og kursing i krav til behandling av Personopplysninger for å skape bevissthet blant ansatte