Tilbake

Databehandleravtale

Databehandleravtale

Følgende er standard databehandleravtale som gjelder mellom Medlemsadmin.net som databehandler og forening/arrangør som behandlingsansvarlig (kunden).  Databehandleravtalen inngår som en del av standard forenings-/arrangør-vilkårene og betraktes som inngått når forening/arrangør tar medlemssystemet eller påmeldingssystemet på våre nettsider i bruk.

I tillegg kan eventuell individuell databehandleravtale med den enkelte forening/arrangør også gjelde, samt de kravene som EU forordningen for personvern setter.

  • Medlemsadmin behandler personopplysningene på vegne av behandlingsansvarlig og legger til rette for enkel tilgang til og uttak av disse opplysningene for behandlingsansvarlig. Opplysningene blir lagret på en server i "skyen". Det er behandlingsansvarlig som eier dataene.
  • Medlemsadmin følger de instrukser som gis av behandlingsansvarlig basert på systemets spesifikasjoner slik tatt ibruk av behandlingsansarlig iht. forenings- og arrangørvilkår. Medlemsadmin behandler ikke personopplysningene på annen måte enn  det brukergrensesnittet som systemet har som benyttes av behandlingsansvarlig.
  • Det tas sikkerhetskopier med jevne mellomrom som oppbevares en viss tid før de slettes automatisk. Også behandlingsansvarlig har en viss mulighet til å ta sikkerhetskopi med medlemsuttrekk.
  • Behandling av personopplysningene er beskrevet her.
  • Personopplysningene blir ikke utlevert eller gjort tilgjengelig til andre enn behandlingsansvarlig og de som beandlingsansvarlig gir tilgang for.
  • Medlemmer, og i noen tilfeller deltagere, har mulighet til å se og vedlikeholde sine egne opplysninger. Ønske om anonymisering eller sletting kan tas opp med behandlingsansvarlig forening/arrangør.
  • Medlemsadmin.net vil på instruks kunne bistå behandlingsansvarlig å etterkomme ønsker fra enkeltpersoner i forbindelse med sletting og anonymisering. 
  • Ved avslutning av databehandleravtale med behandlingsansvarlig vil Medlemadmin.net slette alle medlemmer, samt  slette eller anonymisere alle arrangementer og påmeldinger. Personopplysningene kan tilbakeføres til behandlingsansvarlig via uttrekk som benahdlingsansvarlig kan gjøre selv eller få hjelp til av Medlemsadmin.
  • Norsk regnskapslov krever 5 års lagring av betalingsinformasjon og gjør at ikke all informasjon alltid kan slettes.
  • Personer i Medlemsadmin som har tilgang til personopplysningene har taushetsplikt.
  • Tilgang til personopplysninger krever autorisasjon og er beskyttet med passord. Det er den behandlingsansvarlige som gir autorisasjon innen sin organisasjon.
  • Det er ulike nivå på tilgang til opplysningene gjennom ulike roller. Det er behandlingsansvarlig som tildeler disse nivåene internt i sin organisasjon gjennom rolletildeling.
  • Behandlingsansvarlig har ansvar for å lage instruks for behandling av personopplysningene for alle fysiske personer i sin organisasjon som behandler disse.
  • Dersom det oppdages brudd på informasjonssikkerheten vil databehandler ha kontakt med "eier" av arrangør/forening og sammen gjennomgå tiltak/konsekvenser. Om nødvendig kan databehandler og/eller behandlingsansvarlig i samarbeid sende varsel til datatilsynet via eget avviksskjema på Altinn.no. Ref. https://www.datatilsynet.no/regelverk-og-skjema/avviksbehandling/nar-skal-jeg-melde-avvik/

Underleverandører

Medlemsadmin.net benytter Amazon Web Services (AWS) i Frankfurt, Tyskland, som teknisk underleverandør av infrastrukuren. AWS er verdens største driftsplattform. Alle data ligger dermed lagret i "skyen".

Som betalingsleverandører benyttes PayEx og Elavon som håndterer all kort- og bank informasjon.