1.1 Disse generelle vilkårene og betingelsene ("Vilkår og betingelser") styrer bestemmelsen og abonnement på Tjenestene bestilt av Kunden i Kundeavtalen eller tilsvarende bindende avtale (herved referert til som "kundeavtale").

1.2 Kundeavtalen, vedlegg og/eller tilbud utstedt av Mondial og akseptert av Kunden utgjør avtalen mellom partene (samlet "Avtalen").

1.3 I tilfelle uoverensstemmelser går Kundeavtalen foran vedleggene, og vedleggene skal ha prioritet i følgende rekkefølge:
1) Databehandleravtale
2) Vilkår og betingelser
3) Støttetjenester og tjenestetilgjengelighet
4) Personvernerklæring for tjenesten
alle med unntak fra at databehandleravtalen til enhver tid skal gjelde.

2 ABONNEMENTSLISENS
2.1 I henhold til vilkårene og betingelsene i denne avtalen, gir Mondial kunden en ikke-eksklusiv, ikke-overførbar og ikke-overdragbar, begrenset abonnementslisens for å få tilgang til og bruke tjenestene.

2.2 Lisensen gitt i punkt 2.1 er i alle tilfeller utelukkende gitt:(a) innenfor rammen av og underlagt vilkårene angitt i kundeavtalen,(b) for de spesifikke tillatte brukere ("Tillatt Brukere"), prosjektområder og/eller prosjektrom hvis noen, som angitt i kundeavtalen,(c) kun for interne forretningsformål, og(d) i løpet av avtaleperioden.

3 ABONNEMENT OG SUPPORT & SLA
3.1 Abonnementet inkluderer gratis oppdateringer og nye programvareversjoner og utgivelser av tjenester og all dokumentasjon som vanligvis gjøres tilgjengelig for kunder av Mondial.

3.2 Abonnement inkluderer også generell støtte i henhold til støtte vilkårene beskrevet i støttetjenester.

3.3 I henhold til vilkårene i denne avtalen skal Mondial bestrebe å gjøre tjenesten generelt tilgjengelig minst 99,5 % av tiden per måned, med unntak av:
i. planlagt nedetid som varslet til Kunde og
ii. nedetiden forårsaket av omstendigheter utenfor Mondials  rimelige kontroll, inkludert uten begrensning, force majeure, regjerings handlinger, flom, brann, jordskjelv, sivil uro, terrorhandlinger, streik eller andre arbeidsproblemer, telekommunikasjons- eller nettverk svikt eller forsinkelser, datamaskin feil som involverer maskinvare eller programvare som ikke er i Mondials  besittelse eller rimelig kontroll og hærverk (inkluder) nettverksinntrenging og fornektelse av tjenesteangrep. 

Kunden er ansvarlig for å levere, for egen regning, alt nettverkstilgang til tjenestene, inkludert, uten begrensning, anskaffelse, installasjon og vedlikehold av alt telekommunikasjonsutstyr, maskinvare, programvare og annet utstyr som kan være nødvendig for å koble til, få tilgang til og bruke tjenestene.

4 BEGRENSET BRUK AV TJENESTENE
4.1 Kunden skal kun bruke Tjenestene til avtalt og tiltenkt bruk og i samsvar med gjeldende lover og regler og eventuell dokumentasjon og andre instrukser fra Mondial.

4.2 Kunden skal ikke bruke eller tillate eller oppmuntre en tredjepart til å bruke tjenestene i brudd på denne avtalen og skal være ansvarlig for enhver av brukerens bruk av tjenestene. Det er strengt forbudt å undersøke, kopiere, reprodusere, oversette, dekomponerer, reparere, reversere, konstruere eller endre tjenestene.

4.3 Kun Tillatt Brukere kan bruke tjenestene.

4.4 Dersom Kunden ønsker å øke antall tillatte brukere, må kundens abonnementsadministrator sende inn en ny bestilling til Mondial.  På Mondials bestillingsskjemaet, skal Mondial  utvide lisensen til tjenesten til ønsket antall tillatte brukere iht ny bestilling. Kunden vil være ansvarlig for eventuelle tilleggsgebyrer for ytterligere tillatte brukere etter at disse har blitt gjort tilgjengelig av Mondial.

4.5 Dersom Kunden ønsker å redusere antall Tillatt Brukere fra opprinnelig bestilt antall, må kundens kunden sende inn en ny bestilling til Mondial for  Mondials godkjenning av bestillingsskjemaet, underlagt eventuelle minimumsforpliktelser avtalt i Kundeavtalen. Mondial skal  redusere lisensen til Tjenesten til ønsket antall tillatte brukere i henhold til ny rekkefølge. Endringer i antall abonnenter  trer i kraft tidligst en måned  etter endring er godkjent . Bestilling om reduksjon i antall brukere må være mottatt av Mondial senest en måned før automatisk årlig fornyelse finner sted. Det gis ingen refusjon for påstartede abonnements perioder.  

5 GEBYRER OG BETALINGER
5.1 Kunden skal betale Mondial beløp spesifisert i Kunde Avtale. Dersom Partene ikke har avtalt noen pris skriftlig for en bestemt tjeneste eller produkt Mondial fra tid til annen gjeldende standardavgifter og priser skal gjelde.

5.2 Alle priser er eksklusive a) MVA og andre gjeldende skatter og avgifter (som skal betales av Kunden på den måten og til den prisen som er foreskrevet av loven), og b) , reise, hotell og kostnader for materialer og eksterne tjenester (som kan belastes kunden til kostpris + 15% med mindre avtalen bestemmer noe annet).

5.3 Mondial kan med en måneds varsel justere alle priser med forbehold om endringer i forskrifter, skatter, avgifter eller lignende omstendigheter utenfor Mondials kontroll. Mondial  kan også justere eventuelle priser for tredje parts produkter eller tjenester i tilfelle slik tredjepart justerer sine priser en måned etter dette er varslet. 

5.4 Mondial kan fra starten av et nytt kalenderår justere priser i samsvar med endringene i den norske konsumprisindeksen.

5.5 Mondial  kan justere innholdet i tjenestene og justere prisene deretter.

5.6 Enhver prisjustering skal ha virkning én (1) måned etter varsel ble gitt. Endringer underlagt 5.5 vil ha virkning tre (3) måneder etter datoen varselet ble gitt, og vil gjelde for alle automatiske og nye abonnement perioder.

5.7 Betaling skal skje innen tretti (30) dager etter fakturadato. Ved forsinket betaling kan Mondial, uten at det berører andre rettigheter eller rettsmidler tilgjengelig for Mondial , belaste renter av det ubetalte beløpet og inkassogebyrer i henhold til gjeldende lovfestet sats. Mondial  skal også ha rett til: 
a) å avslå å levere noen tjenester til Kunden, 
b) kansellere avtalen eller behandle avtalen som å ha blitt kansellert av Kunden, og 
c) kreve erstatning for ethvert tap eller skade av noe slag på grunn av så sent betaling og/eller kansellering av avtale.

6 PRIVAT KUNDEDATA
6.1 Mondial  eier ikke, og har ikke tilgang til elektroniske data eller informasjon i noen database, mal eller andre lignende dokumenter sendt inn av kunden, foruten data beskrevet i 7.1. til 7,4. Kunden, ikke Mondial , har eneansvar for nøyaktigheten, kvaliteten, integritet, lovlighet, pålitelighet, hensiktsmessighet og immaterielle rettigheter til bruk av alle kundedata, og Mondial  skal ikke være ansvarlig for slettingen, retting, ødeleggelse, skade, tap eller manglende lagring av kundedata.

6.2 Tjenestene kan innebære at Mondial  behandler personopplysninger som beskrevet i Kunde Avtale, som databehandler, på vegne av Kunden, som behandlingsansvarlig. Dette er nærmere beskrevet i databehandlingsavtalen og personvernreglene.

6.3 Mondial  og Kunden  inngår databehandleravtalen tilgjengelig på www.mondial.no ved at Kunden godtar og erkjenner at Tjenester leveres til Kunden av Mondial, og at databehandleravtalen inngås  med Mondial  som databehandler.

6.4 I forbindelse med eventuelle personopplysninger som sendes til tjenestene, garanterer kunden nødvendige lisenser, rettigheter, samtykker og tillatelser til å bruke alle personlige data for å muliggjøre inkludering og bruk av personopplysningene på den måten tjenestene forutsetter.

6.5 Uavhengig av det ovenstående, samtykker Kunden i at Mondial kan samle inn og bruke teknisk informasjon (aktivitet, funksjon og bruksmønster) samlet inn fra kunden og/eller dennes brukere for å lette og forbedre funksjonaliteten og identifisere støttebehovene til Tjenester samt forbedre tjenestene.

7 OFFENTLIGE DATA
7.1 Offentlige myndigheter som har avtale om bruk av Mondial tjenester for saksbehandlings formål, har eneansvar for verifisering av nøyaktigheten i Kundedata lagt til grunn i egne offentlige vedtak.

7.2 Data lagt til grunn i offentlige vedtak før eller etter brukt i Moindial database, ansees som Offentlige Data, med mindre de er unntatt offentligheten jf. offl §§ 13 til 22, eller taushetsbelagt jf. fvl § 13. For å bidra til deling og gjenbruk og analyse av Offentlige Data, gis Mondial fri og evig tilgang til data i Mondial databaser.  

7.3 Mondial er ikke ansvarlig for slettingen, retting, ødeleggelse, skade, tap eller manglende lagring av data.  

8 INTEGRASJON API
8.1 En tjeneste-API og API-dokumentasjon er tilgjengelig som en tilleggstjeneste for Kunden og kundeintegrasjonsparter for utvikling av integrasjonsløsninger med Mondials SaaS-tjenester.

8.2 Kunden og integrasjonspartneren er ansvarlig for all bruk av API og implementering av dette. Integrasjonsløsninger mellom Kundens plattform og data på alle tjenester fra Mondial  portefølje av tjenester skjer på kundens egen risiko.

8.3 Ved bruk og bestilling av API-integrasjon aksepterer du som Kunde at integrasjonspartner får tilgang til dine data, og at du er ansvarlig for å innhente nødvendige samtykker og inngåelse av nødvendige avtaler med integrerings partnere og andre til å innhente og gjøre bruk av slike data.

8.4 Mondial  kan på ingen måte holdes ansvarlig for integreringspartnerens bruk av slike data, eller for kvaliteten eller nøyaktigheten til slike data.

8.5 Kunden kan når som helst instruere Mondial om å stoppe tilgangen til API. Mondial  vil stoppe tilgangen så snart som praktisk mulig.

9 IMMATERIELLE EIENDOMSRETTER
9.1 Alle immaterielle rettigheter til tjenestene eies av Mondial  og, i tilfelle kan være, Mondials  leverandører. 

9.2 Uautorisert bruk av tjenestene utgjør ulovlig krenkelse av åndsverk rettigheter og kan føre til erstatningsansvar og andre rettsmidler i henhold til gjeldende lovgivning og/eller avtalen

10 KRENKELSE AV IMMATERIELLE EIENDOMSRETTIGHETER
10.1 Mondial  forplikter seg til å holde kunden skadesløs fra og mot enhver og alle skader, kostnader og utgifter som krav, søksmål eller søksmål reist mot kunden basert på påstanden om at bruken av tjenestene utgjør et brudd på eventuelle immaterielle rettigheter; forutsatt at Mondial  har blitt varslet uten unødig opphold skriftlig om et slikt krav, søksmål eller saksgang, og at Mondial  gis autoritet, rimelig informasjon og assistanse (i rimelig grad av kunden og på Mondials  regning) for å avgjøre kravet eller kontrollere forsvaret av evt sak eller fortsetter.

10.2 Hvis tjenestene blir, eller etter Mondials mening sannsynligvis vil bli, gjenstand for slike krav, søksmål eller saksgang som nevnt i punkt 9.1, skal Mondial, etter eget valg og regning, enten:
a. tilby kunden rett til å fortsette å bruke tjenestene,
b. erstatte de angivelig krenkende delene av tjenestene med ikke-krenkende ekvivalente;
c. endre tjenestene slik at de blir ikke-krenkende uten å vesentlig  forringe funksjon eller opptreden; eller
d. hvis etter Mondals  mening ingen av mulighetene som er angitt ovenfor er kommersielt gjennomførbare, si opp avtalen.

10.3 Forpliktelsene angitt i punktene 9.1 og 9.2 gjelder ikke dersom kravet er forårsaket av, eller resultater fra: 
a. kundens kombinasjon eller bruk av tjenestene med programvare, tjenester eller produkter utviklet av Kunden eller tredjeparter, eller  dersom kravet ville blitt unngått av ikke-kombinert eller uavhengig bruk av tjenestene;
b. endring av tjenestene av andre enn Mondial  dersom tredjepartskravet ville ha hindret bruk av de umodifiserte tjenestene;
c. Kunden fortsetter den angivelig krenkende aktiviteten etter å ha blitt varslet om dette, eller senere blir gitt modifikasjoner eller erstatninger som ville ha unngått det påståtte overtredelse; eller
d. Kunden bruker eller har brukt Tjenestene på en måte som ikke er i samsvar med Avtale eller Mondials skriftlige instruksjoner.

10.4 Kunden skal holde Mondial skadesløs fra og mot alle skader, kostnader og utgifter (inkludert honorarer til advokater og annet fagfolk) pådratt som et resultat av ethvert krav, søksmål eller rettssak, basert på påstanden om at bruk av Tjenestene utgjør en krenkelse av eventuelle tredjepartsrettigheter, inkludert men ikke begrenset til; 
a.  hvis et slikt krav skyldes  kundens kombinasjon eller bruk av tjenestene med programvare, tjenester eller produkter utviklet av Kunden eller tredjeparter, dersom kravet ville blitt unngått av ikke-kombinert eller uavhengig bruk av tjenestene;
b. endring av tjenestene av andre enn Mondial  dersom tredjepartskravet ville ha gjort det blitt unngått ved bruk av de umodifiserte tjenestene. 
c.  Kunden fortsetter den angivelig krenkende aktivitet etter å ha blitt varslet om det eller etter å ha blitt gitt endringer eller erstatninger som ville ha unngått den påståtte krenkelsen; eller
d. Kunden bruker eller har brukt Tjenestene på en måte som ikke er i samsvar med Avtale eller Mondials  skriftlige instruksjoner, eller ved  tilrettelegging/medvirkning/tildekning av straffbare handlinger.

11 KONFIDENSIALITET
11.1 Innholdet i Avtaler mellom Mondial og Kunden skal til enhver tid holdes strengt konfidensielt og ikke være det avslørt til en tredjepart uten skriftlig forhåndssamtykke fra den andre parten (f.eks samtykke til ikke å bli tilbakeholdt urimelig).

11.2 All informasjon, enten muntlig eller skriftlig eller i visuell, elektronisk eller håndgripelig form, vedrørende eller ellers knyttet til en part, noen av dens tilknyttede selskaper eller til noen av deres saker eller annen virksomhet saker, skal til enhver tid holdes strengt konfidensielt og ikke brukes til andre formål enn utførelsen eller håndhevelsen av avtalen.

11.3 Begrensningene i henholdsvis punkt 9.1 og 9.2 skal ikke gjelde for informasjon:
a) som allerede var kjent for den mottakende parten eller på annen måte var i dens besittelse før tidspunktet for avsløringen;
b) som ble oppnådd av den mottakende part i god tro uten begrensning fra en tredjeparti;

11.4 Parten som bruker eller avslører informasjon eller dokumentasjon med henvisning til noen av disse unntakene har bevisbyrden for å fastslå at det aktuelle unntaket gjelder.

12 ANSVARSBEGRENSNING
12.1 Ingen av partene skal under noen omstendigheter være ansvarlige for; 
(i) indirekte, tilfeldige, spesielle, følgemessige,straff- eller skadeserstatning, og heller ikke
(ii) for tap av bruk eller data, eller produksjon eller for tapt fortjeneste, besparelser eller inntekter av noe slag (enten direkte, indirekte eller følgevirkninger); uansett hva teori om ansvar, selv om parten har blitt informert om muligheten for slike skader. I tillegg skal Mondials  totale ansvar for alle skader, tap og årsaker ikke under noen omstendigheter overskride  et beløp tilsvarende det laveste av: 
a) beløpet som kunden har betalt eller skal betales til Mondial  for typen Tjeneste som forårsaker skaden, tapet eller handlingsårsaken i løpet av ett (1) år før tidspunktet for hendelsen som forårsaker slik skade, tap eller årsak, og 
b) EUR 10 000.

12.2 Ethvert krav om erstatning av noe slag overfor Mondial  skal meddeles Mondial  uten unødig forsinkelse og senest tre (3) måneder etter at den aktuelle tjenesten ble levert av eller fra Mondial, med mindre en spesifikk garanti gitt foreskriver en lengre periode.

13 FORCE MAJEURE
13.1 Hvis og i den grad en av partene ikke oppfyller sine forpliktelser i henhold til avtalen av; 
a) urimelig tyngende av omstendigheter utenfor dens rimelige kontroll, som det ikke med rimelighet kunne forventes å ha tatt i betraktning på tidspunktet for avtalenble inngått, eller
b)  for å ha unngått eller overvunnet virkningene av en situasjons beskrevet i a), skal løslates fra erstatningsansvar og eventuelle andre straffer for forsinkelse i utførelsen eller manglende utføre slike forpliktelser.

14 VARIGHET OG OPPSIGELSE
14.1 Med forbehold om avtalte minimum abonnementsperioden for tjenestene angitt i Kundeavtale, er Avtalen er gyldig inntil den sies opp av en av partene  med 30 dagers skriftlig varsel. Ved mistanke om brudd på avtalens pkt. 4.1 til 4.3 kan Mondial uten ytterliggere varsel deaktivere brukerkontoer inntil beslutning om aktivisering eller Tvunget Sletting av Brukerkonto er tatt. Ved Tvunget Sletting av Brukerkonto gis refusjon tilsvarende abonnements resterende varighet, fratrukket påstartet måned, fra det tidspunkt kontoen ble deaktivert. Ved reaktivisering tilføres abonomentet tid i deaktivert tilstand.

14.2 Ved oppsigelse vil;
a)  eventuelle beløp som skyldes Mondial  forfalle umiddelbart og betale iht. avtale om betaling, og 
b) hver part vil returnere alt konfidensielt fra den andre parten til den andre parten eller kontroll. Kunders tilgang til eller bruk av tjenesten vil opphøre fra opphørsdatoen.
c) Kunden godta at Mondial  sletter kundedataene, med mindre kunden innen 30 dager fra oppsigelsesdato skriftlig  ber Mondial om å bevare  kundedata .

14.3 Uansett oppsigelse eller utløp av denne avtalen, rettighetene og pliktene til partene under seksjonene 6, 7, 8, 9, 10, 11, 12, 13, 14 og 15 vil overleve oppsigelsen eller utløpet av denne.

Avtale.15 TVISTER OG GJELDENDE LOV:
15.1 Enhver tvist, kontrovers eller krav som oppstår på grunn av, eller i forbindelse med, avtalen, eller bruddet, oppsigelsen eller ugyldigheten av den, skal endelig avgjøres ved voldgift i henhold til den norske voldgiftsloven. Stedet for voldgift skal være Oslo,Norge. Språket som skal brukes i voldgiftsbehandlingen skal være norsk  (med mindreannet er avtalt av de tvistente partene.

15.2 All voldgiftssak utført i henhold til paragraf 15, all informasjon som er avslørt og alle dokumenter innsendt eller utstedt av eller på vegne av noen av de tvistente partene eller voldgiftsdommere i enhver slik sak, samt alle avgjørelser og kjennelser som er truffet eller erklært i forløpet av en slik prosedyre skal holdes strengt konfidensielt og kan ikke brukes for noe annet formål enn denne saksgangen eller håndheving av en slik avgjørelse eller tildeling, og heller ikke avsløres til noen tredjepart uten skriftlig forhåndssamtykke fra parten som informasjonen gjelder.

15.3 Til tross for det foregående, kan Mondial  ta alle nødvendige rettslige skrittkompetent domstol i kundens bostedsland for innkreving av forsinket betalinger. Partene godtar herved at jurisdiksjonen til en slik domstol skal søke om slikt formål.

15.4 Avtalen, inkludert denne paragraf 15, skal styres av og tolkes i samsvar medmed norsk lov.16

DIVERSE
16.1 Programmerte Fag Elementer (PFE) som; fagspesifikke spørsmål, arbeidsflyt, henvisninger, referanser, automatikk og annet, foreslås av Mondial for å forenkle arbeidsprosesser. PFE kan være utdatert, manglende eller feilaktige, og vil alltid være under Mondial revisjon. Mondial skal ikke være ansvarlig for slettingen, retting, ødeleggelse, skade, tap som følge av mangler eller feil i FPE, eller  oppdatering/endring/sletting/tilføring av PFE. Mondial tilbyr alltid Uprogrammerte Fag Elementer (UFE) som alternativ for PFE. Noe funksjonalitet som kan tilbys PFE, tilbys ikke UFE. Oppdatering/endring/sletting/tilføring av PFE og UFE vil alltid annonseres på på Tjenestene de foretas.    

16.2 Kunden kan ikke overdra noen av sine rettigheter eller forpliktelser i henhold til Avtalen uten Mondials  skriftlige forhåndssamtykke.

16.3 Mondial  har rett til å underkontraktører en tredjepart for å utføre noen av sine forpliktelser i henhold til Avtale uten kundens samtykke.

16.4 Endringer og tillegg til avtalen må være skriftlige og behørig utført av fester.

16.5 All korrespondanse og meldinger i henhold til Avtalen skal være skriftlig.

1. FORMÅLET MED DENNE DATABEHANDLINGSAVTALEN
1.1 Denne avtalen ("databehandlingsavtalen") fastsetter partenes rettigheter og forpliktelser når Databehandler behandler personopplysninger som en del av tjenestene levert under avtalen inngått mellom Mondial og Kunden ("Kundeavtalen"). Denne databehandlingsavtalen er inngått og akseptert som en del av hovedregelen i Avtalen. Databehandlingsavtalen er basert på norske staters standard databehandling. Avtalemalen er tilgjengelig https://www.anskaffelser.no/verktoy/kontrakter-ogavtaler/databehandleravtale-og-sjekkliste og er en integrert del av Kundeavtalen.Formålet med databehandleravtalen er å sikre at partene overholder Gjeldende personvernregler. Databehandleravtalen omfatter dette dokumentet, samt vedlegg A, B, C og D.

1.2 Vedlegg A til databehandleravtalen inneholder en detaljert beskrivelse av behandling som skal finne sted, samt formålet med behandlingen, kategorier av persondata og registrerte. Partenes utpekte kontaktpersoner er spesifisert i hovedsiden Avtale.

1.3 Vedlegg B til Databehandleravtalen inneholder vilkår for bruk avUnderbehandlere, samt en liste over godkjente Underbehandlere.

1.4 Vedlegg C til databehandleravtalen inneholder spesifikke instruksjoner forbehandling av personopplysninger under Kundedavtalen, herunder sikkerhetstiltak og Databehandlers rett til tilgang til og revisjon av databehandleren og eventuelle underbehandlere, samt sektorspesifikke bestemmelser om behandling av personopplysninger.

1.5 Vedlegg D til Databehandleravtalen inneholder endringer i standardteksten og evsenere avtalte endringer i Databehandleravtalen.

2. DEFINISJONER
Gjeldende personvernregler: De gjeldende versjonene av EUs generelle databeskyttelsesforordning (2016/679) («GDPR») og lov om behandling av personopplysninger av 15.06.2018 (personopplysningsloven) med tilhørende forskrifter mv., og eventuell annen relevant lovgivning vedr behandling og beskyttelse av personopplysninger, som spesifisert i vedlegg C.

Kundeavtale: En eller flere avtaler mellom behandlingsansvarlig og databehandlerom levering av tjenester som innebærer behandling av personopplysninger, som spesifisert i Vedlegg A. Databehandleravtalen kan gjelde flere underliggende avtaler.

Underbehandler: En bedrift eller person som brukes av Databehandleren som underleverandør for behandling av personopplysninger under Hovedavtalen. Artikkel 4 i GDPR vil gjelde for personvernvilkår som ikke er definert i denne avtalen.

3. RETTIGHETER OG PLIKTER TIL DATABEHANDLER
Behandlingsansvarlig er ansvarlig for behandlingen av personopplysninger i henhold til Gjeldende personvernregler. Den behandlingsansvarlige må spesifikt sørge for at:
i. Behandlingen av personopplysninger er for et spesifisert og eksplisitt formål og er basert på gyldig juridiske grunner
ii. de registrerte har mottatt nødvendig informasjon om behandlingen avpersonopplysningene
iii. den behandlingsansvarlige har utført tilstrekkelige risikovurderinger; og
iv. Databehandleren har til enhver tid tilstrekkelige instruksjoner og informasjon for å oppfylle sineforpliktelser i henhold til databehandlingsavtalen og gjeldende personvernregler.

4. INSTRUKSJONER FRA DATAKONTROLLEREN TIL DATAPROSESSOREN
4.1 Databehandleren skal behandle personopplysningene i samsvar med gjeldende personvern Policy og behandlingsansvarligs dokumenterte instruksjoner, jf. avsnitt

4.2. Hvis annen behandling er nødvendig for å oppfylle forpliktelser som databehandleren er underlagt i henhold til gjeldende lov, Databehandler skal varsle Databehandler i den grad dette er tillatt etter lov, jfr. Artikkel 28 (3) (a) i GDPR.4.2 Behandlingsansvarligs instruksjoner fremgår av Databehandleravtalen med Vedlegg. Databehandleren skal umiddelbart varsle den behandlingsansvarlige dersom Behandler mener instruksjonene er i konflikt med gjeldende personvernerklæring, jfr. Artikkel 28 (3) (h) i GDPR.

4.3 Databehandleren skal varsles skriftlig om alle forespurte endringer i instruksjonene i Databehandleravtalen med vedlegg, og endringer må gjennomføres av databehandleren innen datoen avtalt mellom partene. Databehandleren, eller kreve at den behandlingsansvarlige betaler dokumenterte kostnader som påløper i forbindelse med gjennomføring av slike endringer, eller forholdsmessig justering av godtgjørelsen etter Hovedavtalen dersom den endrede instruksen medfører ekstra kostnader for Databehandleren. Det samme gjelder merkostnader som påløper på grunn av endringer i gjeldende Retningslinjer for personvern som gjelder datakontrollørens aktiviteter.

5. KONFIDENSIALITET OG TAUSHETSPLIKT
5.1 Databehandler skal sørge for at ansatte og andre som har tilgang til personopplysninger er autorisert til å behandle personopplysninger på vegne av databehandleren. Hvis slik autorisasjon utløper eller trekkes tilbake, må tilgangen til personopplysningene opphøre uten unødig forsinkelse.

5.2 Databehandler skal kun autoriserte personer som trenger tilgang til personopplysningene i for å oppfylle sine forpliktelser i henhold til Hovedavtalen, Databehandleravtalen og all annen behandling som er nødvendig for å oppfylle forpliktelser som Databehandleren har, i samsvar med gjeldende rett, se pkt. 4.1 siste punktum.

5.3 Databehandler skal sørge for at personer som er autorisert til å behandle personopplysninger på vegne av den behandlingsansvarlige er underlagt taushetsplikt enten ved avtale eller gjeldende lov. Forpliktelsene til konfidensialitet skal overleve varigheten av dataene Behandlingsavtale og/eller arbeidsforhold.

5.4 På forespørsel fra behandlingsansvarlig skal Databehandler dokumentere at det aktuelle personer er underlagt nevnte taushetsplikter, se punkt 5.3.

5.5 Ved utløpet av databehandlingsavtalen er databehandleren pålagt åavslutte all tilgang til personopplysninger som behandles i henhold til avtalen.

6. HJELP TIL DATAKONTROLLEREN
6.1 Databehandleren skal på forespørsel bistå den behandlingsansvarlige etter rimelighetmed oppfyllelsen av rettighetene til de registrerte under kapittel III i GDPR gjennom passende tekniske eller organisatoriske tiltak. Plikten til å bistå dataene Kontrolløren gjelder kun i den grad dette er mulig og hensiktsmessig, tatt i betraktning arten og omfanget av behandlingen av personopplysninger under Hovedavtalen.

6.2 Databehandler skal uten ugrunnet opphold videresende alle henvendelser som Databehandler mottar fra den registrerte om rettighetene til den registrerte under Gjeldende personvernregler for den dataansvarlige. Slike henvendelser kan bare besvares av Databehandler når dette er skriftlig godkjent av behandlingsansvarlig.

6.3 Databehandleren må bistå den behandlingsansvarlige som rimelig forlangt med å sikre overholdelse av forpliktelsene i henhold til artikkel 32-36 i GDPR, inkludert å gi bistand med konsekvensvurderinger av personopplysninger og tidligere konsultasjoner med dataene Beskyttelsesmyndigheter, i lys av arten og omfanget av behandlingen av personopplysninger under Kundeavtalen.

6.4 Hvis databehandleren, på rimelig anmodning fra den behandlingsansvarlige, yter bistand som beskrevet i pkt. 6.1 eller 6.3, og bistanden går utover det som er nødvendig for Databehandler for å oppfylle sine egne forpliktelser i henhold til gjeldende personvernerklæring, dataene Prosessor vil bli refundert i henhold til prisbestemmelsene i Kundeavtalen.

7. SIKKERHET FOR BEHANDLING
7.1 Databehandleren skal iverksette passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for risikoen, tatt i betraktning den nyeste teknologien, kostnadene ved gjennomføring og arten, omfanget, konteksten og formålet med behandlingen, samt risikoen for varierende sannsynlighet og alvorlighetsgrad for rettighetene og frihetene til naturlige personer. Databehandler skal som et minimum iverksette tiltakene spesifisert i vedlegg C i databehandleravtalen.

7.2 Databehandler skal gjennomføre risikovurderinger for å sikre at en hensiktsmessig sikkerhetsnivået opprettholdes til enhver tid. Databehandler skal sørge for regelmessig testing, analyse og vurdering av sikkerhetstiltakene, spesielt med hensyn til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og tjenester, og muligheten til raskt å gjenopprette tilgjengeligheten av personopplysninger i tilfelle en hendelse.

7.3 Databehandler skal dokumentere risikovurderingen og sikkerhetstiltak,  gjørevurderingen  tilgjengelig for behandlingsansvarlig på forespørsel, og tilgjengelig for de avtalte revisjonene mellom partene, jfr. pkt. 11 i databehandleravtalen.Innhold i risikovurderingen: 
a) Navn og kontaktinformasjon til personvernombudet eller annet kontaktpunkt frahvor mer informasjon kan fås
b) Beskrivelse av de sannsynlige konsekvensene av brudd på personopplysninger; og
c) Beskrive tiltakene som er tatt eller foreslått av den behandlingsansvarlige for å håndtere brudd, inkludert, der det er hensiktsmessig, tiltak for å dempe mulige skadevirkninger. 
d) Om nødvendig kan informasjon gis i faser uten ytterligere unødig forsinkelse.

8.3 Databehandleren skal iverksette alle nødvendige tiltak som med rimelighet kan kreves for å rette opp og unngå lignende brudd på personopplysninger. Så langt det er mulig, Databehandler må konsultere behandlingsansvarlig om tiltak som skal iverksettes, herunder vurdering av eventuelle tiltak foreslått av den behandlingsansvarlige.

8.4 Behandlingsansvarlig er ansvarlig for å varsle Datatilsynet om data som er berørt av personopplysningsbrudd. Databehandler kan ikke informere tredjeparter ved brudd på personopplysningssikkerheten med mindre annet kreves i henhold til gjeldendelov eller i samsvar med de uttrykkelige skriftlige instruksjonene fra den behandlingsansvarlige.

9. BRUK AV UNDERBEHANDLER
9.1 Databehandleren kan kun bruke underbehandlere med forutgående generell eller spesifikk skriftlig autorisasjon av behandlingsansvarlig, i samsvar med vedlegg B til databehandlings Avtalen. For oversikt over godkjente underbehandlere, se vedlegg B til Behandlingsavtale.

9.2 Dersom en Databehandler engasjerer en Underbehandler for å utføre spesifikke behandlingsaktiviteter på på vegne av den behandlingsansvarlige, gjelder de samme databeskyttelsesforpliktelsene som er angitt i for dataene i 9.1. Behandlingsavtale skal pålegges Underbehandler ved skriftlig avtale. Se avsnitt 9.7 om bruk av standard tredjepartstjenester.

9.3 Databehandleren kan kun engasjere Underbehandlere som yter passende tekniske ogorganisatoriske tiltak for å sikre at behandlingen oppfyller kravene iht gjeldende personvernerklæring. Databehandler må bruke rimelig innsats for å vurdereog verifisere at tilfredsstillende tiltak er iverksatt av underbehandlerne. På forespørsel skal Databehandleren skal kunne sende inn rapporter fra slike vurderinger til Dataene Kontroller.

9.4 Dersom den behandlingsansvarlige motsetter seg endringer i bruken av Underbehandlere i henhold til vedlegg B, Databehandleravtalen, skal Partene forhandle i god tro med sikte på å nå en rimelig løsning på hvordan videre levering av tjenestene under Hovedavtale skal skje, herunder fordeling av eventuelle kostnader mellom Partene. De Partene må komme til enighet før endringer i bruken av Underbehandlere kan skjelaget.

9.5 Dersom Underbehandleren ikke oppfyller sine databeskyttelsesforpliktelser, skal Databehandleren forbli ansvarlig overfor behandlingsansvarlig for utførelsen av underbehandlerens forpliktelser i på samme måte som om Databehandler selv var ansvarlig for behandlingen.

9.6 Databehandleren er forpliktet til, på forespørsel, å utlevere avtaler med Underbehandlere til den dataansvarlige. Dette gjelder utelukkende de deler av avtalen som er relevante for behandling av personopplysninger, og underlagt eventuelle lovbestemte eller regulatoriske begrensninger. Kommersielle vilkår og betingelser er ikke påkrevd å sendes inn.

9.7 Hvis Databehandleren bruker en underleverandør som leverer standardiserte tredjepartstjenester, Partene kan avtale at underleverandørens standard databehandlingsavtale skal være brukes og brukes direkte til behandlingsansvarlig som i et direkte databehandlingsforhold (dvs. ikke som underbehandler) under følgende vilkår:
• Den behandlingsansvarlige må under hovedavtalen uttrykkelig godta atstandardiserte tredjepartstjenester leveres på underleverandørens standardvilkår
• Databehandler skal følge opp standardvilkårene på vegne av behandlingsansvarlig
• Standardvilkårene må oppfylle kravene i gjeldende personvernerklæring.
Databehandler skal følge opp databehandleravtalen med underleverandør prpå vegne av den behandlingsansvarlige, med mindre annet er avtalt i hvert enkelt tilfelle.

10. OVERFØRING AV PERSONOPPLYSNINGER TIL LAND UTENFOR EØS
10.1 Personopplysninger kan bare overføres til et land utenfor EØS ('Tredjeland') eller til en internasjonal organisasjon dersom den behandlingsansvarlige har godkjent slik overføring skriftlig og vilkårene i pkt. 10.3 er oppfylt. Overføring inkluderer, men er ikke begrenset til:
a) behandling av personopplysninger i datasentre etc. lokalisert i et tredjeland, eller avpersonell lokalisert i et tredjeland (ved ekstern tilgang)
b) å tildele behandlingen av personopplysninger til en underbehandler i en tredjestat; eller
c) avsløre personopplysningene til en behandlingsansvarlig i et tredjeland eller i et internasjonalt land organisasjon.

10.2 Databehandleren kan likevel overføre personopplysninger dersom dette er påkrevd av gjeldende lov i EØS-området. I slike tilfeller må databehandler varsle den behandlingsansvarlige, til omfang tillatt ved lov.

10.3 Overføring til tredjeland eller internasjonale organisasjoner kan bare finne sted hvis det er det de nødvendige garantiene for et tilstrekkelig nivå av databeskyttelse i samsvar med Gjeldende personvernregler. Med mindre annet er avtalt mellom partene, kan slik overføring bare skje på følgende grunnlag:
a) en beslutning fra EU-kommisjonen om et tilstrekkelig beskyttelsesnivå i i samsvar med artikkel 45 i GDPR; eller
b) en databehandleravtale som inneholder standard beskyttelse av personopplysningerbestemmelser som spesifisert i artikkel 46 (2) (c) eller (d) i GDPR (EU-modellklausuler); eller
c) bindende bedriftsregler i henhold til artikkel 47 i GDPR.10.4 Enhver godkjenning fra den behandlingsansvarlige for overføring av personopplysninger til et tredjeland eller internasjonal organisasjon skal fremgå av vedlegg B til databehandlingsavtalen.

11. REVISJON
11.1 På rimelig forespørsel skal databehandleren gjøre alle tilgjengelige for den behandlingsansvarlige informasjon som er nødvendig for å demonstrere overholdelse av forpliktelsene fastsatt i artikkel 28 i GDPR og denne databehandlingsavtalen.
11.2 Databehandleren skal tillate og bidra til årlige inspeksjoner og revisjonerav eller på vegne av den behandlingsansvarlige. Databehandler skal også tillate og bidra til inspeksjoner utført av relevante tilsynsmyndigheter. Behandlingsansvarligs gjennomgang av enhver underbehandler skal utføres av databehandleren, hvis det er spesifikt bedt omdet og avtalt.

11.3 Hvis en revisjon avslører et brudd på forpliktelsene i gjeldende personvernerklæring eller dataene Behandleravtale, Databehandler skal utbedre bruddet så snart som mulig. De Databehandler kan kreve at databehandler midlertidig stopper hele eller deler av behandlingsaktiviteter inntil bruddet er rettet og godkjent av behandlingsansvarlig.

11.4 Hver part skal betale sine egne kostnader forbundet med en årlig revisjon. Hvis en revisjon avslører betydelige brudd på forpliktelsene i henhold til gjeldende personvernregler eller dataene, skal databehandleren betale for databehandlerens rimelige kostnader påløpt ved revisjonen.

12. SLETTING OG RETURNERING AV INFORMASJON
12.1 Ved utløpet av denne databehandleravtalen er databehandleren forpliktet til å returnere og slette alle personopplysninger som behandles på vegne av behandlingsansvarlig under dataene Behandlingsavtale, i henhold til bestemmelsene i vedlegg C. Dette gjelder også for eventuelle sikkerhetskopier.

12.2 Den behandlingsansvarlige avgjør hvordan eventuell retur av personopplysninger skal skje. Behandlingsansvarlig kan kreve at retur skal skje på en strukturert og vanlig måtemaskinlesbart format. Den behandlingsansvarlige vil betale databehandlerens dokumenterten kostnader knyttet til returen med mindre dette er inkludert i vederlaget under Hovedavtalen.

12.3 Hvis en delt infrastruktur eller sikkerhetskopi brukes og direkte sletting ikke er teknisk mulig, skal Databehandler skal sørge for at personopplysningene gjøres utilgjengelige inntil de har vært det overskrevet.

12.4 Databehandleren må bekrefte skriftlig overfor behandlingsansvarlig at dataene har vært slettet eller gjort utilgjengelig, og skal på forespørsel dokumentere hvordan dette har foregått.

12.5 Nærmere bestemmelser om sletting og tilbakeføring fremgår av vedlegg C.

13. BRUDD OG SUSPENSJONSORDRE
13.1 I tilfelle brudd på databehandlingsavtalen og/eller gjeldende personvernregler,behandlingsansvarlig og relevante tilsynsmyndigheter kan pålegge databehandleren åstanse hele eller deler av behandlingen av opplysningene med øyeblikkelig virkning

13.2 Dersom Databehandleren ikke overholder sine forpliktelser i henhold til denne Databehandlingsavtale og/eller gjeldende personvernpolicy, skal dette anses som et brudd på hovedregelen, Avtale, og forpliktelser, frister, sanksjoner og ansvarsbegrensninger i hovedsak. Avtalens regulering av Leverandørens mislighold vil bli anvendt.

14. VARIGHET OG UTLØP
14.1 Databehandleravtalen trer i kraft fra den datoen den er signert av begge parter. Databehandleravtalen skal gjelde like lenge som databehandlerenbehandler personopplysninger på vegne av behandlingsansvarlig. Den skal også gjelde for alle personlige data som holdes av databehandleren eller noen av dens underbehandlere etter utløpet av Hovedavtale.

14.2 Reglene om oppsigelse angitt i Hovedavtalen gjelder også for Databehandleravtale, i den grad dette er aktuelt. Databehandleravtalenkan ikke sies opp hvis Hovedavtalen er i kraft, med mindre den erstattes av en ny DataBehandlingsavtale.

15. MELDINGER
Melding i henhold til denne databehandlingsavtalen skal sendes skriftlig til: For kunde som dataansvarlig: I henhold til kontaktinformasjon gitt under hovedavtalen. For Mondial som databehandler: E-post til: kontakt@mondail.no

16. GJELDENDE LOV OG JURIDISK VERNETING
Databehandleravtalen er underlagt norsk lov. Tvister vil løses i henhold til hovedavtalens bestemmelser, herunder eventuelle bestemmelser om verneting.

VEDLEGG A
Formål og instruksjoner
Mondial AS tilbyr nettbaserte samarbeidsprosjekttjenester ("Service") til Kunden i henhold til Kundeavtale. Personopplysninger behandlet i tjenesten. I Tjenesten er hver bruker av systemet knyttet til en personlig brukerprofil. Å få lov til å skape en brukerprofil, må du registrere følgende obligatoriske personopplysninger:
• Fornavn
• Etternavn
• E-post

Den registrerte e-postadressen som er knyttet til en bruker, bruker det unike brukernavnet til det medlemmet til å logge på systemet sammen med et passord satt av brukeren. Uten dette brukernavnet og passord vil medlemmet ikke under noen omstendigheter ha tilgang til og kunne logge seg på eller få informasjon fra systemet. Ved første gang pålogging brukes et passord tildelt av Mondial. Det er Kundens ansvar å endre dette passordet til et selvvalg passord, som Mondial ikke vil ha tilgang til.

Frivillige personopplysninger
Hver bruker kan registrere følgende frivillige data i sin egen brukerprofil:
• Bilde
• Tittel
• Selskap
• Telefon
• Mobil
Alle dataene nevnt ovenfor er tilgjengelige som informasjon for alle brukere av tjenesten innenfor hver spesifikt kundeområde.

Gratis brukerinformasjon for støtte- og sikkerhetsformål
• IP adresse
• Datamaskinnavn

Databehandler skal ikke behandle personopplysninger utover kravene som er nødvendige for å overholde forpliktelsene i henhold til Avtalen uten forutgående skriftlig avtale eller skriftlige instruksjoner fra behandlingsansvarlig. 

APPENDIKS B
UnderbehandlereDatabehandleren engasjerer følgende underbehandlere som girpassende tekniske og organisatoriske tiltak for å sikre at behandlingenoppfyller kravene i databehandleravtalen:
-
-
-
-   

APPENDIKS C
Sikkerhet og instruksjoner

GENERELL
Databehandleren skal iverksette alle nødvendige tiltak i henhold til artikkel 32 i forordningen, inkludert planlagte, systematiske, organisatoriske og tekniske tiltak, som sikrer tilstrekkelig konfidensialitet, integritet og tilgjengelighet av informasjon i behandlingen av personopplysninger. Med henvisning tiltekniske og organisatoriske tiltak spesifisert i dette avsnittet, gir Leverandøren følgende målinger:
• Beskyttelse knyttet til fysisk tilgang og logisk tilgang
• Multifaktorautentisering for administrasjonsformål
• Daglig sikkerhetskopiering og prosess for sikker gjenoppretting
• Logg over tilgang

KRYPTERING AV DATA
All datatrafikk og legitimasjon er kryptert med TLS (Transport Layer Security) for å sikre at uautorisert tilgang til data.

BRUKERIDENTIFIKASJON
Brukere identifiseres med en gyldig kombinasjon av brukernavn og passord. Autentisering administreresmed enten SSO eller innebygd brukerlager. For passordkryptering kjøres en enveiskrypteringog passordet er aldri synlig for noen Mondial-ansatte. Ved pålogging kjøres en mekanisme for å forhindre brute-force-angrep på brukerkontoer.

ADGANG
Brukere kan få tilgang per prosjekter og kan for eksempel ha skriverettigheter i et prosjekt, men bare leserettigheter i en annen. I tillegg kan lese- og skrivetillatelsene settes på alle nivåer. Rettigheter kan settes basert på individer eller grupper.

SIKKERHETSTESTER OG SIKKERHET
Uavhengige sikkerhetstester utføres av ekspertmiljøer for å sikre mot angrep som forfalskning av forespørsler på tvers av nettsteder (CSRF), cross-site scripting (XSS), SQL-injeksjoner blant annet på teknisknivå. Sikkerhet er et kontinuerlig fokus og inkluderer organisasjonsbevissthet og kompetanse.

BASEFARM HOSTINGDRIFTSMILJØET
Det legges stor vekt på sikkerheten i driftsmiljøet som er basert i Norge og etablert hos vår profesjonelle driftspartner Basefarm (heretter The Operating Partner). Defysisk miljø er delt inn i to datasentre og informasjon som er lagret i Løsningen speiles i sanntid for rask gjenoppretting i nødstilfeller. Datasentrene er tilrettelagt med adgangskontroll, videoovervåking, klimakontroll, branndeteksjon med tidlig varsling, nødstrøm og annet som kjennetegner en moderne  og sikkert datasenter.

Driftsmiljøet er lokalisert i anonyme industribygg. Logoer eller andre effekter tilknyttet vår driftspartner eksisterer ikke i bygget. Terrenget rundt er formet slik at det er liten fare for flom, og bygningene er solide. Risikoen for innbrudd anses som liten.

Bygningene er plassert bak flere massive ståldører som er koblet til en alarmsystem som overvåkes 24 timer i døgnet gjennom Operating Partners driftssenter. Tilgang til datasentrene gis kun til personell med spesielle behov og ved behov medfør godkjennelse. Det kreves også tilgangskort og kode til enhver tid. Serviceteknikere og evt. annet personell gis tilgang kun når de er ledsaget av autorisert personell.

Alle ansatte hos vår driftspartner signerer en standard konfidensialitetsavtale. Dette ogsåinkluderer eventuell tilgang til kundedata. Våre driftspartnere har begrenset tilgang / rettigheter /tilgang til kundedata avhenger av brukere / brukergrupper, som igjen bestemmes av funksjonen de gir.

Datasenteret overvåkes 24 timer i døgnet, 365 dager i året, gjennom driftspartnerens støtteteam. I støtteteamet er det alltid høyt utdannet og kvalifisert personale med lang erfaring innen områdene nettverk, operativsystemer og applikasjoner. Tilkobling til Internett er robust og består av redundant tilkobling til NIX ogredundante tilkoblinger til ulike leverandører for generell Internett-trafikk. I tillegg har vi redundant samtrafikk mot noen store aktører i Norge. Vår Operating Partner har et kvalitetssystem basert på ISO. Prosessene involvert i tjenestenlevering er generelt basert på ITIL. BRANNMURSolutions-plattformen er implementert bak redundant brannmurtjeneste og lastbalansering fra anerkjente leverandører. Det er implementert unike regler for brannmuren og retningslinjer basert på sikkerhetskrav Løsningen krever. Driftspartneren er ansvarlig for alle drift, vedlikehold og overvåking av brannmurer.

GJENOPPRETTE FRA SIKKERHETSKOPI
Sikkerhetskopieringstjeneste for Løsningen består av en avansert to-lags arkitektur med backup til diskog deretter til den underliggende tape- eller disklagringen i et tredje datasenter. Denne arkitekturen fører tilbetydelig kortere sikkerhetskopierings- og gjenopprettingstider.

Vi har følgende standard backup:
• Inkrementell sikkerhetskopiering utføres to ganger daglig (kl. 12.00 og 24.00)
• Slettede/endrede filer lagret på sikkerhetskopi i 30 dager (oppbevaring)
Sikkerhetskopiering tas daglig i vår Operating Partners backup-vinduer, med garantert respons på gjenopprette i tilfelle maskinvarefeil eller tap av data. Backup-tjenester er online og innebærer ikke nedetid for backup. Kun autorisert personell har tilgang til fysiske kopier av backup-medier.

Involverte teknikere må signere en taushetserklæring.  

MICROSOFT AZURE CLOUD HOSTING
Azure Cloud Services tilbyr en rik tjenestekatalog og en dynamisk allokering av ressurser. I sammarbeidmed vår profesjonelle driftspartner Basefarm, brukes Azure for å gi en stabil og fremtidssikretdriftsmiljø for våre applikasjoner og data.

DRIFTSMILJØET
Azure Norge brukes til å sikre at all kundedata forblir i Norge.

I alle Azure-datasentrefysisk tilgang til områdene der data lagres er strengt kontrollert. Vanligvis høye gjerder laget av stålog betong omfatter hver tomme av omkretsen. Kameraer er plassert rundt datasentrene, med en sikkerhetsteamet overvåker videoene deres til enhver tid. Profesjonelt utdannede sikkerhetsoffiserer også rutinemessig patruljere datasenteret og overvåke videoene fra kameraer inne i datasenteret til enhver tid.

Kontrollerte tilgangspunkter er plassert ved anleggets omkrets, ved bygningens omkrets, innenfor bygningen og på datasenter etasjen. Fysisk tilgang til datasenteret er strengt kontrollert og må være det forespurt og godkjent før du ankommer datasenteret. Tillatelser gis ved behov for tilgangbasis og begrenset til en viss tidsperiode.

Fysiske sikkerhetsgjennomganger av anleggene gjennomføres med jevne mellomrom. Azure-infrastrukturen oppfyller et bredt sett av internasjonale og bransjespesifikke samsvarsstandarder,som ISO 27001, HIPAA, FedRAMP, SOC 1 og SOC 2.BRANNMURAzure-plattformen Firewall er en administrert, skybasert nettverkssikkerhetstjeneste som beskytter nettverket vårtressurser. Det er en fullstendig stateful brannmur som en tjeneste med innebygd høy tilgjengelighet og ubegrenset skyskalerbarhet.Driftspartneren i samarbeid med Microsoft Azure er ansvarlig for all drift, vedlikehold og overvåking av brannmurer. 

GJENOPPRETTE FRA SIKKERHETSKOPI
Sikkerhetskopieringstjeneste for løsningen som kjører på Azure, bruker pålitelig Blob-lagring med innebygd sikkerhet og høytilgjengelighetsfunksjoner. Når det er aktuelt, brukes øyeblikksbilder for enkelte arbeidsbelastninger som VM-er og AzureFiler, noe som drastisk reduserer tiden det tar å gjenopprette dataene dine til den opprinnelige lagringen.Vi har følgende standard backup:
• Inkrementell sikkerhetskopiering utføres to ganger daglig (kl. 12.00 og 24.00)
• Slettede/endrede filer lagret på sikkerhetskopi i 30 dager (oppbevaring)Sikkerhetskopiering tas daglig med garantert respons for gjenoppretting i tilfelle maskinvarefeil eller tap av data.
Sikkerhetskopieringstjenester er online og innebærer ikke nedetid for sikkerhetskopiering. Tilgang til sikkerhetskopier er kun begrenset tilautoriserte sikkerhetskopieringsadministratorer.

All infrastruktur er representert som kode og kan raskt gjenoppbygges fra bunnen av i tilfelle et katastrofalt tapav data. Infrastrukturkode er plassert i et sikkert git-lager. Infrastruktur som kode gjør det enkelt å flytte hele distribusjonen av tjenester til et annet datasenter hvis behovet skulle oppstå.



APPENDIKS D
Vedtatte endringer
Partene er enige om å legge til følgende ordlyd i tillegg til det som er angitt i punkt 9.1:9.1 «Den behandlingsansvarlige gir herved Databehandleren en generell fullmakt til å engasjere underbehandlere».Partene er enige om å erstatte bestemmelsen i punkt 9.4 med følgende bestemmelse:9.4 «Databehandleren skal informere den behandlingsansvarlige om eventuelle tiltenkte endringer vedrørende tillegg eller utskifting av underbehandlere, og dermed gi den behandlingsansvarlige mulighet til å protestere mot slike endringer. Slik innsigelse skal fremsettes skriftlig og innentretti (30) kalenderdager etter at Databehandler har informert Databehandler om de tiltenkte endringene. Hvis den behandlingsansvarlige motsetter seg endringer i bruken av underbehandlere, den behandlingsansvarlige kan, som et eneste rettsmiddel, si opp Hovedavtalen (og derfor denne databehandleravtalen) i henhold til § 12 i hovedavtalen”. Partene er enige om å erstatte bestemmelsen i punkt 11.2 med følgende bestemmelse:11.2 Databehandleren skal etter rimelig forhåndsvarsel tillate og bidra til årlig inspeksjoner og revisjoner utført av eller på vegne av behandlingsansvarlig én gang pr Kalenderår. Databehandleren skal også tillate og bidra til utførte inspeksjonerav relevante tilsynsmyndigheter.
‍

Mondial legger vekt på personvern for sine online abonnementstjenester (heretter kalt «tjenestene»). I disse vilkårene og betingelsene har vi beskrive hva slags informasjon som er registrert om brukeren av tjenesten vår og hvordan Mondial  kan bruke denne informasjonen. 

Dersom Mondial  ikke har inngått en skriftlig avtale med kunden som klart erstatter disse vilkårene, vil disse personvernbetingelsene gjelde så lenge du bruke tjenesten.

Personlig identifiserbar informasjon (eller personlig informasjon) er all informasjon som kan identifisere deg personlig eller være knyttet til deg personlig (f.eks. navn, adresse, telefonnummer osv.).

Mondial vil bruk kun personlig informasjon som beskrevet i denne personvernerklæringen.  Mondial  vil ikke dele personlig informasjon med en tredjepart uten ditt forhåndssamtykke. 

HVILKE PERSONLIGE DATA SAMLER MONDIAL INN VIA TJENESTENE?
I Tjenesten er hver bruker av systemet knyttet til en personlig brukerprofil. Å få lov til å skape en brukerprofil, må du registrere følgende obligatoriske personopplysninger:
• Fornavn
• Etternavn
• E-post
Den registrerte e-postadressen som er knyttet til en bruker er det unike brukernavnet til det medlemmet og er brukes til å logge på systemet sammen med et passord satt av brukeren. Uten dette brukernavnet og passord vil medlemmet ikke under noen omstendigheter ha tilgang til og kunne logge seg på eller få informasjon fra systemet.

FRIVILLIGE PERSONOPPLYSNINGER
Hver bruker kan registrere følgende frivillige data i sin egen brukerprofil:
• Bilde
• Tittel
• Selskap
• Telefonnummer
• Mobilnummer
• Kompetanse
Alle dataene nevnt ovenfor er tilgjengelige som informasjon for alle brukere av tjenesten innenfor hver spesifikt kundeområde.

KOMPLIMENTAR BRUKERINFORMASJON FOR STØTTEFORMÅL
• IP adresse
• Datamaskinnavn

OPPDATERING AV BRUKERINFORMASJON
Personopplysninger er informasjon som brukeren selv kan få tilgang til og oppdatere når som helst i fremtiden så lenge brukeren har tilgang til tjenesten. Kundens administrator(er) har også tilgang til og kan oppdatere dataene i fremtiden.

SLETTE BRUKERINFORMASJON
En brukers profil kan slettes fra et prosjekt eller deaktiveres fra et kundeområde avkundens administrator(er). For til enhver tid å kunne dokumentere hvem som har gjort hvaoverholde gjeldende lover eller en henvendelse fra en offentlig myndighet eller annen juridisk prosess, alle logger knyttet til brukeren av Tjenesten vil eksistere uavhengig av om brukerprofilen har vært deaktivert.

HVA BRUKER MONDIAL INFORMASJONEN TIL I TJENESTEN:
Fornavn og etternavn er obligatoriske opplysninger som vi som databehandler har satt som en minimumskrav til:
• Identifisere ekte personer til medlemmer av en interaktiv løsning på tvers av prosjekter og kunder innenfor et spesifisert kundeområde
• Identifisere reelle personer ved forespørsel om støttetjenester fra databehandler for å levere en støttetjeneste innenfor kravene som er definert
• Tillat at Tjenesten automatisk sender ut informasjon relatert til innholdet i din prosjektområde

Fornavn og etternavn kan redigeres av brukeren selv i fremtiden. De kundens administrator(er) (områdeadministrator) kan også redigere disse dataene i fremtiden. Alle personopplysninger nevnt ovenfor er tilgjengelige som informasjon for alle brukere av tjenestene innenfor hvert spesifikt område (fellesskap).

I hvert tilfelle Mondial behøver tilgang til innhold, skal Mondial ha forhåndsgodkjenning for dette fra eier av prosjektområdet eller umiddelbart informere eieren at innholdet har blitt åpnet. Alle ansatte ved Mondial har signert en erklæring om hemmelighold, og Mondial vil behandle innholdet som konfidensiell informasjon med mindre annet kreves av en juridisk prosess

TILBAKEMELDING FRA BRUKEREN VIA TJENESTEN
I forbindelse med tilbakemeldinger fra brukeren direkte fra Tjenesten, lagrer vi brukerens første navn, etternavn og e-postadresse i en ekstern tjeneste. Dette for at vi skal kunne følge opp og gi tilbakemelding direkte til sluttbrukeren på det foreslåtte forbedringer som sendes inn. Brukeren kan ikke selv redigere sine data i denne eksterne tjenesten. Dette er hentetautomatisk fra tjenesten. Brukerinformasjon som samles inn for dette formålet kan væredeaktivert eller slettet på forespørsel til vår støttetjeneste.

STØTTEFORSØKELSER FRA BRUKEREN VIA TJENESTEN
Fra Tjenesten er det også mulig å sende inn forespørsler til vår støtteavdeling. I forbindelse til dette lagrer vi fornavn, etternavn og e-postadresse i en ekstern tjeneste. Dette er for å la oss følge opp supportsaker og gi direkte tilbakemelding til sluttbrukeren på støttesaker som sluttbrukeren har rapportert. Brukeren kan ikke selv redigere sine data i denne eksterne tjenesten. Dette er hentet automatisk fra tjenesten. Brukerinformasjon som samles inn for dette formålet kan være deaktivert eller slettet på forespørsel til vår støttetjeneste.

INFORMASJON TIL BRUKEREN VIA E-POST:
• Systemkritisk informasjon som er direkte relatert til tjenesten, for eksempel nedetid, kritiske feil, osv., er ikke om nødvendig.
• Nyhetsbrev om tjenestene og våre andre produkter, tjenester, kurs, seminarerog annen relevant informasjon som kan knyttes indirekte til forholdet ditt til Mondial.
• Brukerundersøkelser.
Ved utsendelse av informasjon bruker Mondial sin egen løsning der e-postadresser fra alle individuelle brukerprofiler i tjenestene lagres. Hver enkelt bruker kan velge å avregistrere seg fra en eller flere av disse kategoriene via en lenke i e-postmeldingen. Brukeren kan også kontakte Mondial for å be om at brukerinformasjonen slettes permanent fra postregisteret.

INNHOLD
All informasjon som du som bruker av Tjenesten registrerer i Tjenesten vil kalles «innhold»uavhengig av om informasjonen er personlig identifiserbar. Vår policy om bruk av slike innhold er beskrevet nedenfor. Denne personvernerklæringen forhindrer ikke Mondial i å sende inn informasjon, som beskrevet ovenfor, i den grad det kreves av vilkårene i avtalen eller til overholde gjeldende lover eller en forespørsel fra en offentlig myndighet eller en annen juridisk prosess (heretter referert til som «rettslig prosess»).

Personer som lagrer og tilbyr bruk av et prosjektområde kan plassere informasjon i prosjektområdet (dokumenter, filer eller andre data) heretter kalt "innhold".

Mondial skal på ingen måte gå inn til prosjektområde eller se noe av innholdet unntatt om nødvendig, for å løse tekniske problemer, støtte henvendelser eller lasting av innhold fra ett prosjektområde til andre områder i forbindelse med slutten av en prosjektområde, eller for å overholde en juridisk prosess. 

BRUK AV ET PROSJEKTOMRÅDE
Mondial kan samle inn informasjon om tilgang til/bruksfrekvens for et prosjektområde. Vi vil bruke denne informasjonen av sikkerhetsgrunner og for å identifisere prosjektområder som har blitt forlatt eller til avgjøre om tjenester knyttet til prosjektområdet kan være til nytte for deg.

IKKE PROSJEKTSPESIFIKK OFFENTLIG INNHOLD
Mondial gis rett til tilgang og fri bruk av Innhold fra offentlige data som kart, planer, vedtak, lover, forskrifter, rundskriv, veiledere, rapporter og lignende.  

PARTNERE OG ANDRE NETTSIDER
Denne personvernerklæringen gjelder for tjenestene og dekker ikke andre lenker på nettstedet vårt.

IP ADRESSEPC-en din genererer en unik identitet (IP-adresse) som kommuniseres til en nettside når dukommunisere med nettsiden. Vi bruker IP-adressen din til å diagnostisere problemer med/administrere vår nettside, og for å gi deg teknisk hjelp med ditt prosjektområde.

COOKIES
En "informasjonskapsel" er et stykke data som et nettsted kan sende til nettleseren din og til nettet nettleseren kan lagre på din PC. Din nettleser vil deretter returnere informasjonskapselinformasjon til domene som informasjonskapselen kom fra. Du kan stille inn nettleseren til å informere deg om å godta informasjonskapsler, som gir deg muligheten til å bestemme om du vil godta dem. Vi bruker informasjonskapsler for å administrere innloggingsprosessen ved å lagre brukernavnet ditt og for å huske personlige innstillinger som sortering, gruppering, spalter og språk.

SIKKERHET
For å beskytte personopplysningene du har gitt oss, har vi implementert bruk av SSL-kryptering, brannmurer, backup, passord og revisjoner. Sikkerhetssystemer er ikke feilfri og ugjennomtrengelig for hackere, og at Mondial ikke gir noen garantier for at dette kan ikke skje.

GRENSESNITT TIL ANDRE SYSTEMER
Dersom Tjenesten har grensesnitt mot andre systemer, som følge av oppdrag for Kunden, skal Leverandør vil ha samme ansvar som nevnt i denne avtalen frem til integrasjonen peke på et annet system utenfor Leverandørens kontroll. Det er presisert at initiativet til henting av data fra Tjenesten til andre integrasjonspunkter må være fra Kunden.

OVERFØRING AV DATA UTENFOR EU ELLER DET EUROPEISKE ØKONOMISKE OMRÅDE
Hvis data overføres fra innenfor EØS til en jurisdiksjon utenfor EØS, gjøres det under en Dataoverføringsavtale, som inneholder standard klausuler om databeskyttelse. Den europeiske Kommisjonen har vedtatt standard klausuler om databeskyttelse (kjent som modellklausuler) som gir beskyttelse for personlig informasjon som overføres utenfor Europa. Vi bruker Modellklausuler ved overføring av personopplysninger utenfor Europa.

NYHETSBREV
Mondial gis rett til å bruke personopplysninger til utsending av Nyhetsbrev om tjenestene og våre andre produkter, tjenester, kurs, seminarer og annen relevant informasjon som kan knyttes indirekte til forholdet ditt til Mondial.

BRUKERUNDERSØKELSER
Mondial gis rett til å bruke personopplysninger til utsending av brukerundersøkelser. Ved utsendelse av informasjon bruker Mondial sin egen løsning der e-postadresser fra alle individuelle brukerprofiler i tjenestene lagres.

ENDRINGER I PERSONVERN
Mondial kan endre personvernreglene fra tid til annen ved å lagre oppdateringer på dette stedet, og vi vil varsle alle større endringer til registrerte medlemmer av prosjektområdet ved innlogging. 

1 DEFINISJONER
"Avtalt tilgjengelighet" skal bety at tjenesten er tilgjengelig 24 timer i døgnet 7 dager i uke unntatt Planlagt vedlikehold og måles i timer per år.
‍
"Grunnperiode" skal bety hverdager (mandag – fredag) 08.00 – 16.00 CET.For helligdager kan basisperioden reduseres.

"Nedetid" betyr enhver tidsperiode som kunden ikke kan bruke tjenesten og er målt i minutter per måned innenfor den avtalte tilgjengeligheten.

"Hendelse" skal bety et uplanlagt avbrudd i Tjenesten eller reduksjon i kvaliteten på tjenesten rapportert av kunden eller automatisk oppdaget og rapportert av leverandøren.

"Planlagt vedlikehold" skal bety forhåndsplanlagte vedlikeholdsavbrudd som gjengir Tjenesten er utilgjengelig. 

"Løsning" skal bety en permanent løsning, en midlertidig løsning, en løsning eller enhandlingsplan som skal definere forventet tidsramme for løsning.

"Løsningstidspunkt" betyr tidspunktet da leverandøren blir varslet om en hendelse tiltidspunkt når hendelsen har en løsning.

«Brukerstøtte» Bistand og hjelp til å muliggjøre korrekt og effektiv bruk av tjenesten(e) – ikke  inkludert mer tidkrevende opplæring og konsulenttjenester.

TJENESTE TILGJENGELIGHET
Mondial er ansvarlig for vedlikehold av Tjenesten og streber etter å ha Tjenestentilgjengelig for kunden 24 timer i døgnet.
Tjenestetilgjengeligheten sumeres årlig, og tilføres abonomenters gyldighet ved årsslutt. 

STØTTE OG HENDELSE AV HENDELSE
Leverandøren vil opprettholde et senter for støtte og hendelsesrapportering. Brukerstøtte er tilgjengelig via e-post og telefon i den definerte grunnperioden. Oppdatert informasjon vil være tilgjengelig på firmastøttesider på internett. Utvidet støttenivå (24/7) er tilgjengelig som en valgfri tjeneste til standardavtalen.