Databehandleravtalen 

Relevio Databehandleravtale er en del en avtalene som er inngått mellom partene, dette inkluderer også de Generelle Vilkårene. 

Avtalen regulerer behandling og prosessering av personopplysninger for Databehandleren, i dette tilfellet Relevio, på vegne av kunden som er Behandlingsansvarlig

Siste endret: 27.  Januar 2026 

Relevio AS – Org nr. 927 115 557 

1. Formålet med denne Databehandleravtalen 

Denne avtalen fastsetter partenes rettigheter og plikter når Databehandleren behandler personopplysninger på vegne av den Behandlingsansvarlige som del av leveransene under de Generelle Vilkårene. Databehandleravtalen har som formål å sikre at partene etterlever Gjeldende personvernregler.

Ved motstrid mellom Generelle Vilkår og Databehandleravtalen, har Databehandleravtalen forrang når det gjelder forhold spesifikt knyttet til behandling av personopplysninger.  

  1. Definisjoner 

Gjeldende personvernregler: Den til enhver tid gjeldende versjon av EUs personvernforordning (2016/679) ("personvernforordningen"), samt lov om behandling av personopplysninger av 15.06. 2018 (personopplysningsloven) med tilhørende forskrifter mv 

Underdatabehandler: Annen virksomhet som benyttes av Databehandler som underleverandør til behandling av personopplysninger under Generelle Vilkår. 

Sikkerhetsbrudd: Brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til Behandlede Personopplysninger. 

Behandling: Enhver bruk av Personopplysninger, som f.eks. innsamling, analyse, gjenfinning og spredning. 

For personvernbegreper som ikke er definert i denne Databehandleravtalen gjelder definisjonene i personvernforordningen artikkel 4. 

3. Behandlingsansvarliges plikter og rettigheter 

Behandlingsansvarlige har ansvaret for at behandlingen av personopplysninger skjer i samsvar med Gjeldende personvernregler. Behandlingsansvarlige skal i den forbindelse særskilt sørge for at: 

i. behandlingen av personopplysninger er formålsbestemt og basert på et gyldig rettsgrunnlag; 

ii. de registrerte har mottatt nødvendig informasjon om behandlingen av personopplysningene; 

iii. Behandlingsansvarlig har gjennomført tilstrekkelige risikovurderinger; og 

iv. Databehandler til enhver tid har tilstrekkelige instrukser og informasjon for å oppfylle sine plikter i henhold til Databehandleravtalen og Gjeldende personvernregler. 

4. Begrensninger for sensitive personopplysninger 

Behandlingsansvarlig skal ikke overføre, laste opp eller på annen måte gjøre tilgjengelig for Databehandler personopplysninger som faller inn under "særlige kategorier av personopplysninger" i henhold til personvernforordningen (GDPR) artikkel 9 og 10. Dette inkluderer, men er ikke begrenset til, opplysninger om: 

  • Rase eller etnisk opprinnelse, politisk, religiøs eller filosofisk overbevisning. 

  • Fagforeningsmedlemskap

  • Genetiske eller biometriske data for entydig identifikasjon. 

  • Helseopplysninger, samt opplysninger om seksuelle forhold eller orientering. 

  • Opplysninger om straffedommer og lovovertredelser. 

Databehandler har intet ansvar, verken direkte eller indirekte, for sensitive personopplysninger som Behandlingsansvarlig laster opp i strid med dette punktet. Kunden skal holde Databehandler skadesløs for ethvert tap, krav eller sanksjon som følger av brudd på denne bestemmelsen. Databehandleravtalens øvrige sikkerhetsgarantier og forpliktelser gjelder ikke for sensitive data som er behandlet i strid med dette forbudet. 

5. Omfanget av behandlingen

Databehandler skal behandle Personopplysningene kun på vegne av Behandlingsansvarlig i henhold til de Generelle Vilkårene, denne Databehandleravtalen og Behandlingsansvarliges dokumenterte instrukser, med mindre noe annet kreves av gjeldende lovgivning. 

Databehandler skal omgående underrette Behandlingsansvarlig dersom Databehandler er pålagt av lov, forskrift eller myndighetspålegg å behandle Personopplysningene i strid med Behandlingsansvarliges instruksjoner, eller dersom Databehandler mener at en instruks er i strid med Personvernlovgivningen. 

Behandlings art og formål

  • Formålet med Relevios behandling av personopplysninger på vegne av Kunden er å levere styrings- og administrasjonssystem (webapp) og intern kollegakommunikasjon via chat (mobilapp og webapp), inkludert push-varsler. 

Typer av informasjon som blir behandlet 

  • Fullt navn 

  • E-postadresse

  • Telefonnummer

  • IP-adresse

  • Arbeidsgiver

  • Arbeidsavtale

  • Arbeidstid

  • Arbeidsoppgaver 

  • Stillingstittel 

  • Stillingsandel 

  • Stillingstype 

  • Dato og type fravær 

  • Tildelte og utførte oppgaver 

  • Forfattede og redigerte dokumenter 

  • Utførte HMS-kontroller, risikovurderinger, registrerte avvik 

  • HMS-roller 

  • Chat

    • Meldingsinnhold (tekst)

    • Tidspunkt for sendt melding 

    • Reaksjoner på melding

    • Grupper og samtaler 

    • Filer (vedlegg) 

    • Hvem har lest hva 

Kategorier av registrerte

  • Kundens ansatte 

  • Kontaktpersoner hos Kundens samarbeidspartnere 

6. Behandlingsansvarliges instrukser til Databehandleren  

Databehandleren skal behandle personopplysningene i samsvar med Gjeldende personvernregler og den Behandlingsansvarliges dokumenterte instrukser. Hvis annen behandling er nødvendig for å oppfylle forpliktelser som Databehandler er underlagt i henhold til gjeldende rett, skal Databehandleren underrette den Behandlingsansvarlige så langt dette er tillat ved lov, jf. personvernforordningen artikkel 28 (3) (a). 

Behandlingsansvarliges instrukser fremgår av de Generelle Vilkårene og Databehandleravtalen. Databehandler skal omgående underrette den Behandlingsansvarlige, dersom vedkommende mener at instruksene er i strid med Gjeldende personvernregler, jf. personvernforordningen artikkel 28 (3) (h).  

Eventuelle endringer i instrukser skal varsles til Databehandler, og skal implementeres av Databehandler innen det tidspunkt Partene avtaler eller, om ingen konkret frist er avtalt, innen rimelig tid. Databehandler kan kreve at Behandlingsansvarlig dekker dokumenterte kostnader som påløper i forbindelse med implementeringen av slike endringer eller forholdsmessig justering av vederlaget under Avtalen dersom den endrede instruksen innebærer løpende ekstra kostnader for Databehandleren. Det samme gjelder merkostnader som følge av endring av Gjeldende personvernregler som gjelder den Behandlingsansvarliges virksomhet. 

7. Konfidensialitet og taushetsplikt 

Databehandleren skal sikre at ansatte og andre som har tilgang til personopplysninger er autorisert til å behandle slike personopplysninger på Databehandlers vegne. Dersom slik autorisasjon utløper eller trekkes tilbake, skal tilgangen til personopplysningene opphøre uten ugrunnet opphold. 

Databehandleren skal kun autorisere personer som trenger tilgang til personopplysningene i forbindelse med arbeid for å kunne oppfylle de Generelle Vilkårene, Databehandleravtalen og eventuelt annen behandling som er nødvendig for å oppfylle forpliktelser som Databehandler er underlagt i henhold til gjeldende rett. 

Databehandleren skal sikre at personer som er autorisert til å behandle personopplysninger på vegne av den Behandlingsansvarlige er underlagt taushetsplikt gjennom avtale eller lov. Taushetsplikten skal bestå også etter avtalens og/eller ansettelsesforholdets opphør.  

Databehandleren skal kunne dokumentere at de relevante personer er underlagt ovennevnte taushetsplikt på forespørsel fra den Behandlingsansvarlige. 

Ved opphør av Databehandleravtalen plikter Databehandleren å avvikle alle tilganger til personopplysninger som behandles under avtalen. 

8. Bistand til Behandlingsansvarlig 

Databehandler skal iverksette egnede tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå sett hen til behandlingens karakter og omfang, den tekniske utviklingen, implementeringskostnader og aktuelle risikoer for fysiske personers rettigheter og friheter.  

Databehandleren skal foreta risikovurderinger for å sikre at et egnet sikkerhetsnivå opprettholdes til enhver tid. Databehandleren skal herunder sørge for jevnlig testing, analyse og vurdering av sikkerhetstiltakene, særlig med hensyn til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og -tjenester, samt evne til raskt å gjenopprette tilgjengeligheten av personopplysningene ved hendelser.  

Databehandler skal dokumentere risikovurderingen og sikkerhetstiltakene, og gjøre dem tilgjengelig for Behandlingsansvarlige på forespørsel, samt gi adgang til slik revisjon som er avtalt mellom partene, jf. punkt 12. 

9. Sikkerhet ved behandlingen 

Kunden beholder alle rettigheter til Kundedata. Relevio gis en begrenset, ikke-eksklusiv rett til å behandle Kundedata for å levere, drifte, sikre og forbedre Tjenesten i henhold til avtalen og databehandleravtalen (DPA). 

Tjenestedata kan Relevio benytte i anonymisert og aggregert form til drift, sikkerhet, statistikk og videreutvikling av Tjenesten. Tjenestedata er ikke Kundedata. 

Datauttak: 

Kunden kan når som helst be om eksport av Kundedata i et strukturert og alminnelig anvendt format. Relevio skal innen rimelig tid legge til rette for slik utlevering. 

Ved opphør av avtalen skal Kundedata returneres eller slettes i henhold til databehandleravtalen (DPA). Relevio kan fastsette rimelige praktiske rammer for gjennomføring av datautlevering, herunder format, metode og eventuelle tekniske begrensninger. 

10. Melding om brudd på personopplysningssikkerheten  

Databehandler skal uten ugrunnet opphold skriftlig underrette den Behandlingsansvarlige om eventuelle brudd på personopplysningssikkerheten, samt for øvrig gi slik bistand og informasjon som er nødvendig for at den Behandlingsansvarlige skal kunne melde bruddet til tilsynsmyndigheter i tråd med Gjeldende personvernregelverk. 

Underretning etter brudd meddeles til hovedkontakt (daglig leder) og skal: 

  1. underrette den behandlingsansvarlige om bruddet uten ugrunnet opphold etter å ha fått kjennskap til det. 

  2. beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt, 

  3. inneholde navnet på og kontaktopplysningene til kontaktpunkt for personvern eller et annet kontaktpunkt der mer informasjon kan innhentes, 

  4. beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten, og 

  5. beskrive de tiltak som Databehandleren har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.  

  6. Informasjonen kan i den grad det det er nødvendig gis trinnvis uten ytterligere ugrunnet opphold. 

Databehandler plikter å gjennomføre alle de tiltak som med rimelighet kan kreves for å utbedre og unngå tilsvarende brudd på personopplysningssikkerheten. Databehandler skal, så langt det er mulig, rådføre seg med Behandlingsansvarlig om de tiltak som skal gjennomføres, herunder vurdere Behandlingsansvarliges eventuelle forslag til tiltak.  

Behandlingsansvarlig er ansvarlig for å underrette Datatilsynet og de berørte registrerte om brudd på personopplysningssikkerheten. Databehandler skal ikke informere tredjeparter om brudd på personopplysningssikkerheten med mindre noe annet er påkrevd etter gjeldende rett eller det følger av uttrykkelig skriftlig instruks fra Behandlingsansvarlig. 

11. Bruk av Underdatabehandler 

Ved inngåelse av Databehandleravtalen godkjenner Behandlingsansvarlig bruk av de Underdatabehandlere som er oppført i listen med Underdatabehandler. Merk at også mor-, søster- og datterselskaper til Databehandleren regnes som Underbehandlere hvis de bidrar til leveransen og behandler personopplysninger.  

For endringer i bruk av Underdatabehandlere er det i tillegg avtalt følgende: 

a. Databehandleren kan benytte Underdatabehandler som i samme konsern (mor- søster- eller datterselskap) som er etablert i et land innenfor EØS-området. Databehandleren skal på forhånd informere Behandlingsansvarlige om bruken av slik Underdatabehandler.  

b. Databehandler kan gjennomføre endringer i bruken av Underdatabehandlere forutsatt at den Behandlingsansvarlige underrettes og gis mulighet til å motsette seg endringene. En slik underretning skal være mottatt av Behandlingsansvarlig senest 21 kalenderdager før endringen trer i kraft, med mindre annet er avtalt skriftlig mellom partene.  

c. Dersom Behandlingsansvarlig motsetter seg endringen eller utskiftningen av en Underleverandør, kan Databehandler terminere Avtalen og Databehandleravtalen med 30 kalenderdagers varsel. 

Dersom en Databehandler engasjerer en Underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den Behandlingsansvarlige, plikter Databehandler å inngå skriftlig avtale med Underdatabehandleren som pålegger denne tilsvarende forpliktelser med hensyn til vern av personopplysninger som Databehandleren selv er underlagt etter denne Databehandleravtalen. 

Databehandler skal kun engasjere Underdatabehandlere som gjennomfører egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene etter Gjeldende personvernregler. Databehandler skal gjennomføre kontroller av Underdatabehandlere for å verifisere at tilfredsstillende tiltak er iverksatt. Databehandler skal kunne fremlegge rapporter fra slike kontroller for Behandlingsansvarlig på forespørsel. 

Dersom Underdatabehandleren ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, skal Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar på samme måte som om Databehandler selv sto for behandlingen. 

Databehandler plikter å forelegge avtaler med Underdatabehandlere for Behandlingsansvarlig på forespørsel. Dette gjelder likevel bare de delene av avtalen som er relevant for behandlingen av personopplysningene og med de begrensninger som eventuelt måtte følge av lov eller forskrift. Rent kommersielle vilkår kan uansett ikke kreves fremlagt. 

12. Overføring av personopplysninger til land utenfor EØS-området 

Databehandler kan kun overføre personopplysninger til et land utenfor EU/EØS etter dokumenterte instruksjoner fra behandlingsansvarlig. Den Behandlingsansvarlige godtar overføringer til godkjente underdatabehandlere som spesifisert i listen med Underdatabehandler. 

Databehandler skal sørge for at alle overføringer har et gyldig grunnlag i henhold til kapittel V i Personvernforordningen. På forespørsel fra den behandlingsansvarlige er databehandleren pålagt å gi den behandlingsansvarlige informasjon om det juridiske grunnlaget for overføringen, inkludert, hvis relevant, en kopi av de signerte standardkontraktsklausulene.  

Databehandler kan likevel overføre personopplysninger dersom det kreves i henhold til gjeldende rett i EØS-området. I slike tilfeller skal Databehandler underrette Behandlingsansvarlig så langt dette er tillat ved lov. 

13. Generelt om revisjon

Databehandler skal bistå Behandlingsansvarlig ved å gjøre dokumentasjon tilgjengelig i den grad det er nødvendig for behandlingsansvarlig for å kunne påvise at databehandlers forpliktelser etter databehandleravtalen og personvernlovgivningen er oppfylt. All slik bistand fra databehandler til behandlingsansvarlig gjøres på skriftlig anmodning og faktureres etter medgått tid. 

Behandlingsansvarlig og relevant tilsynsmyndighet har rett til å gjennomføre revisjoner, herunder inspeksjoner, av personopplysninger som behandles, gjennomførte tekniske og organisatoriske sikkerhetstiltak. Behandlingsansvarlig skal ikke gis tilgang til informasjon vedrørende databehandlers andre kunder og informasjon som er underlagt konfidensialitetsforpliktelser.  

Behandlingsansvarlig skal dekke kostnader knyttet til revisjoner som er initiert av behandlingsansvarlig eller som påløper ved revisjon av behandlingsansvarlig, med mindre revisjonen avdekker manglende oppfyllelse av forpliktelser etter databehandleravtalen eller personvernlovgivningen. 

14. Sletting og tilbakelevering av opplysninger 

Ved opphør av denne Databehandleravtalen plikter Databehandler å tilbakelevere og slette alle personopplysninger som behandles på vegne av Behandlingsansvarlig. Dette gjelder også eventuelle sikkerhetskopier.  

Meldinger sendt i fellessamtaler kan forbli i samtalen etter sletting av brukerkonto, men skal avidentifiseres slik at de ikke lenger er knyttet til en identifiserbar person, med mindre Behandlingsansvarlig instruerer sletting. 

Behandlingsansvarlig kan kreve tilbakelevering skjer på et strukturert og alminnelig anvendt maskinlesbart format. Behandlingsansvarlig skal dekke Databehandlerens dokumenterte kostnader til tilbakelevering med mindre dette er inkludert i vederlaget under de Generelle Vilkårene. 

Hvis det benyttes delt infrastruktur eller backup der direkte sletting ikke er teknisk mulig, vil data bli slettet innen 90 dager. Disse data vil være utilgjengelig for behandling i dette tidsrommet.  

15. Mislighold og pålegg om stans  

Ved brudd på Databehandleravtalen og/eller Gjeldende personvernregler, kan Behandlingsansvarlig og aktuelle tilsynsmyndigheter pålegge Databehandler å stoppe hele eller deler av behandlingen av opplysningene med øyeblikkelig virkning. 

Dersom Databehandler ikke overholder sine plikter i henhold til denne Databehandleravtale og/eller Gjeldende personvernregler, vil dette anses som mislighold av de Generelle Vilkårene, og de plikter, frister, sanksjoner og ansvarsbegrensninger som følger av Generelle Vilkårene regulering av Leverandørens mislighold kommer til anvendelse.  

16. Varighet og opphør 

Databehandleravtalen gjelder fra den er signert av begge Parter. Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Den gjelder også for eventuelle personopplysninger som måtte finnes hos Databehandler eller noen av dennes Underdatabehandler etter avtalens opphør.  

Databehandleravtalen kan ikke sies opp så lenge Generelle Vilkårene består med mindre den avløses av en ny databehandleravtale. Behandlingen er ikke tidsbegrenset og varer inntil avtalen sies opp av en av partene. 

17. Lovvalg og verneting 

Databehandleravtalen er underlagt norsk rett og partene vedtar Trondheim tingrett som verneting. 

Vedlegg 1: Underdatabehandlere