General Terms And Data Processing Agreement Penneo

These General Terms, hereinafter referred to as “Agreement”, govern the rights and obligations between Penneo ApS CVR nr. 35633766, hereinafter referred to as "Penneo", and a legally competent individual or corporate entity, hereinafter referred to as "Customer", concerning Customers use of Penneo’s Services.  

There is a Norwegian translation of these general terms in the bottom of this page. In the event of conflict between the English version and the Norwegian translation, the English version or an interpretation of the English version of These General Terms prevails over the Norwegian.

Penneo and the Customer hereinafter individually referred to as “Party” and collectively as the “Parties”.

1. APPLICATION AND SCOPE 

1.1 The Agreement provides the Customer access to Penneo’s systems and services (the “Platform”), enabling the Customer to access agreed services. Using the Platform the Customer is able to process documents and/or data for signature/approval according the chosen subscription type.

1.2 The Agreement applies to delivery of the Platform and additional services from Penneo ApS (hereinafter “Penneo”) to the Customer unless it has been expressly derogated from or modified by another written agreement and it can be established with certainty that the intention was to derogate from this agreement.

1.3 The Parties want to enter into cooperation where Penneo is to provide the Platform to the Customer.

1.4 The purpose of the Agreement is to lay down the conditions for Penneo’s provision of the Platform to the Customer.

2. THE PLATFORM

2.1 The Platform is made available to the Customer as Software as a Service (“SaaS”) so that the Customer via the Internet and/or the Penneo API, can connect to Penneo’s server or a server at one of Penneo’s collaboration partners and get access to the Platform.

2.2 It is a condition for access to the Platform that the Customer delivers the Documents in standard PDF format. On the other hand, the documents that are returned by Penneo after the Process in Penneo is finalized, will be in the format PAdES-PDF. The returned files contain all signature certificates, are locked for editing and are, at the time of return to the Customer and Third Party, activated for long-term storage (LTV).

3. TERM AND TERMINATION OF THE AGREEMENT

3.1 The Agreement takes effect when the Salesagreement between Wolters Kluwer Norge AS and the Customer is signed by the Parties (“Time of Commencement”).

3.2 There is a period of commitment for access to the Platform (subscription) of 12 months as from the Time of Commencement.

3.3 Either Party may terminate the Agreement at a written notice of 3 months to expire at the end of the subscription period. If the Agreement is not terminated at the latest 3 months before the expiry of the subscription period, this gives rise to a new subscription period of 12 months.

3.4 Upon the expiry of the Data Retention period (depends on the subscription plan), Penneo undertakes to keep all the Customer’s Data, of which Penneo is in possession of, in an additional period of 90 days.

3.5 At any time during the period specified in sub-clause 3.4., the Customer has the right to supply the Customer’s Data or delete the Customer’s Data in full or in part from its account with Penneo. The Customer’s Data is supplied in the formats that are used in the system(s) of Penneo or its sub-suppliers and thus no processing/conversion of data is performed, unless otherwise expressly agreed between the Customer and Penneo.

3.6 Supply of the Customer’s Data in a processed or converted form may be agreed separately against payment.

4. OPERATIONAL RELIABILITY AND SUPPORT

4.1 Penneo secures stable operation but is not liable for irregularities in operations caused by factors that are outside Penneo’s control. Penneo will restore normal operations as soon as possible.

4.2 Penneo ensures accessibility to the Platform during the term of the Agreement as stated below:

4.2.1 Uptime of 99.9%

4.2.2 The uptime is measured and calculated per calendar month based on service time 24/7. In the calculation of uptime, downtime of which notice has lawfully been given in pursuance of the Agreement or which has otherwise expressly been accepted by the Customer is not included

4.2.3 The Customer can at any time see the status of Penneo’s uptime at www.penneo.com under support, operating status; cf. sub-clauses 8.1. and 8.2.

5.SECURITY REGULATIONS

5.1 All documents are stored in encrypted form and all communication to and from Penneo’s server(s) is encrypted and firewalls have been established to secure the Software. However, Penneo cannot provide any guarantee against hacker attacks which cause system failure and/or loss of data.

6. STORAGE AND BACKUP

6.1 The Customer’s Data and back-up media are placed with Penneo’s sub-supplier (Amazon Web Platforms, Inc. (“AWS”)). All Data is stored within the EU in EU (Dublin) Region and EU (Frankfurt) Region, respectively. 

6.2 Penneo uses two backup strategies for separate data classes that are described in more detail in sub-clauses 6.3. and 6.4.:
●    The Customer’s data 
●    System data

6.3 The Customer’s data is stored at several separate physical locations. The Customer’s documents are versioned in order to being able to roll back changes. Deletion of documents including versioning can be made only by at least two persons jointly.

6.4 Penneo makes incremental backup of Systems data on a daily basis. Backups are kept for at least 14 days. All data in Penneo’s production environment is stored at at least two separate physical locations.

6.5 All the Customer’s documents are stored in the Platform according to the Data retention period in the subscription plan, unless the Agreement is terminated in the meantime. In that case, the provisions of sub-clauses 3.4 to 3.6 apply. The Customer’s documents are kept longer than the Data retention period, if a separate agreement has been concluded between the Customer and Penneo on such storage.

6.6 If a system failure - irrespective of the cause - results in loss of or damage to the Customer’s data, Penneo will after the failure/damage has been ascertained either on its own initiative or after having been contacted by the Customer start restoration of the Customer’s Data from the relevant backup location(s). During this period, the Customer’s data may be inaccessible for a maximum of 24 hours.

7. MAINTENANCE

7.1 In order to provide the best possible service it is necessary periodically to extend/renew technical equipment and to make software updates etc. Therefore, Penneo carries out maintenance and updating of the Platform from time to time.

7.2 The Customer is given notice of maintenance and/or updating via Penneo’s website. 

7.3 Penneo’s API is offered in different versions. When a new version is issued, Penneo endeavors to ensure that the new version does not affect previous versions. However, Penneo cannot guarantee that new versions of APIs do not require new development at the Customer. In case where Penneo no longer supports an API version, Penneo must give notice of this at least 6 months before the API version in question is taken out of service.

7.4 In connection with maintenance, it may be necessary to suspend access to the Platform. Such suspensions will mainly be placed in the period from 21:00 – 06:00 CET. If it becomes necessary to suspend access to the Platform outside the period mentioned, notice will be given of this in advance unless technical or security reasons make it necessary to change the system with immediate effect.

8. FAULT REPORTING

8.1 If the Customer detects defects, failure or irregularities, the Customer can check whether the matter has been recorded at status.penneo.com.

8.2 If the matter has not already been recorded, the Customer must contact Penneo without undue delay; cf. sub-clause 8.3.

8.3 In the case of fault reporting, the Customer must describe the defect in writing by using Penneo’s online fault reporting procedure, called support, so that Penneo receives the necessary information to locate the defect immediately.

9. SUPPORT

9.1 End user assistance and software updates are included in the subscription price. Penneo offers several support options. Access to the different support options depends on the chosen subscription plan. Special support inquiries or individual system adaptations are invoiced separately. This applies to both support by telephone and written support.

10. LIABILITY AND LIMITATION OF LIABILITY 

10.1 Each Party is liable for damages in accordance with the general rules of Danish law with the limitations set out below, always provided that the limitations apply only if the loss is not attributable to gross negligence or willful intent on the part of the Party committing the tort.

10.2 Penneo disclaims liability for any indirect loss or consequential loss including, but not limited to, business interruption, loss of profits, loss of the Customer’s Data and goodwill with the Customer.

10.3 Apart from product liability (cf. sub-clause 11.4), the total amount of damages that the Customer can claim from Penneo in accordance with the Agreement is limited to the smaller of the following:

  • the total payment that Penneo has received from the Customer in accordance with this Agreement at the time of the claim, or

  • DKK 25,000 per claim per year.

10.4 Penneo is liable for product liability in accordance with the general rules of damages of Danish law. However, Penneo’s liability for damages in each case is limited to the amount which is paid out in accordance with Penneo’s product liability insurance in force at any time. 

10.5 Penneo is obliged to maintain the customary and sound insurance level, including as a minimum product liability insurance and general liability insurance to cover Penneo’s liability in accordance with the Agreement.

11. THE RIGHT TO DATA 

11.1 The Customer retains ownership of the Customer’s Data and the results of the processing of the Data.

11.2 Penneo cannot exercise a lien on the Customer’s Data.

12. PROCESSING OF THIRD PARTY DATA

12.1 For use of the Platform, the Customer creates a profile including an account with Penneo and thereafter the Customer uploads documents and other data, including personal data, to its account with Penneo for use for signing the Customer’s documents (hereinafter collectively referred to as the “Customer’s Data”).

12.2 The third parties who are to sign the Customer’s documents (hereinafter “Third Party”) create an independent profile including an account with Penneo. The third party uploads its data, including personal data, to its account with Penneo in connection with signing of the Customer’s document(s) (hereinafter collectively referred to as the “Third Party Data”).

12.3 The Customer and all Third Parties receive a copy of the signed documents and the documents are stored and kept by Penneo. Both the Customer and all Third Parties have via their respective accounts with Penneo independent access to the signed documents at Penneo.

12.4 In the relation between the Customer and Penneo, Penneo is data processor and the Customer is data controller. Penneo and the Customer have concluded the data processing agreement attached as Appendix 1 (hereinafter the “Data Processing Agreement”) that regulates Penneo’s processing of the Data of the Customer that is personal data.

13. FORCE MAJEURE

13.1 If Penneo cannot provide its services in accordance with the Agreement as a result of force majeure, Penneo cannot be held liable for losses on account of that and the Customer cannot terminate the Agreement with immediate effect; cf. sub-clause 13.3, however.

13.2 Penneo must inform the Customer without undue delay if a force majeure situation arises. Force majeure is a matter on which Penneo has no influence and which Penneo cannot bypass with reasonable financial and practical measures. Force majeure is for example war, mobilization, terrorist attack, failure/breakdown of public electricity supply, strike, fire, flood etc.

13.3 If the accessibility to the Platform is essentially impossible due to force majeure and this lasts for more than 30 days, either Party may terminate the Agreement in writing with immediate effect but cannot in that connection advance any claims against the other Party.

14. INTELLECTUAL PROPERTY RIGHTS

14.1 The Customer has been advised that the Platform is protected by copyright and the Customer acquires only a non-exclusive conditional right to use the Platform. The right of use is conditional upon the Customer’s payment and observance of the Agreement and it has been expressly pointed out to the Customer that the right of use is limited in time so that it will automatically lapse on termination of the Agreement irrespective of the cause of termination. The right of use is non-transferable.

14.2 The Customer is entitled to use the Platform only for the Customer’s own enterprise.

14.3 The Customer agrees that it will respect the copyrights. The Customer is liable for the Customer’s employees’ and external advisors’ observance of the rights to the Platform when it is used and the Customer is obliged to ensure that it is expressly pointed out to the Customer’s employees and external advisers that the Platform is protected by copyright and may be used only in accordance with the terms of the Agreement.

15. CONFIDENTIALITY AND DUTY OF CONFIDENTIALITY

During the term of the Agreement and after termination of the Agreement, the Parties undertake not to disclose to any unauthorized person any information received from and about the other Party of which a Party learns in connection with the Agreement and provision of the Platform to the Customer. The Parties may use such information only in accordance with the Agreement and must not disclose the information unless disclosure is required in accordance with legislation, a court order or an order from a public authority. The above does not apply to information that is generally known or publicly available and which is not according to Legislation subject to such limitations.

16. MARKETING AND COMMUNICATION BETWEEN THE PARTIES

16.1 Penneo and Wolters Kluwer is entitled to use the Customer as a reference, unless the Customer has expressly and in writing objected to this.

16.2 When signing the Salesagreement, the Customer gives Penneo the right to send service announcements and information which may contain newsletters and other marketing and information concerning the Platform and Penneo’s other products and services at any given time by e-mail.

16.3 The Customer may at any time unsubscribe newsletters and other marketing.

16.4 E-mails that contain operational information are mandatory as they may be of importance for the Customer’s use of the Platform.

16.5 The Parties may use e-mail to send legal information relating to this Agreement.

16.6 An e-mail has arrived when it has been received in the recipient’s e-mail system and when under normal circumstances it will be accessible to the recipient. The fact that an e-mail is specifically not accessible owing to problems in the recipient’s e-mail system is thus the risk of the recipient. It is the responsibility of the Parties to give information about changes to the above contact information.

17. BREACH OF CONTRACT 

17.1 In the event of material breach of the Agreement by one of the Parties, the non-breaching Party may terminate the Agreement forthwith if the matter has not been remedied within 10 working days from the written notice has been given to the Party committing the breach.

17.2 In the event of bankruptcy, reconstruction, restructuring, liquidation, compulsory dissolution, acceptance of a composition, a contractual arrangement with creditors or the like, the other Party is entitled to terminate the Agreement with immediate effect.

17.3 If the Customer does not pay for the Platform in accordance with the Agreement with Wolters Kluwer, Penneo is entitled to disable access to the Platform at a prior notice of 20 days. The Customer’s access is re-established only when amounts due have been received by Wolters Kluwer.

17.4 If Penneo terminates the Agreement as a result of the Customer’s breach, including default on payment, Penneo is entitled to keep the prepayment already made. If the Customer terminates the Agreement as a result of Penneo’s breach the termination will be valid only for the future, and the Customer can only claim payment refunded as from the month in which the breach occurred.

18. DISPUTES 

18.1 The Parties agree that the Agreement has been concluded in accordance with Danish law and that any dispute between the Parties must be settled in accordance with Danish law.

18.2 The Parties shall endeavor to settle disputes amicably through negotiation. If a dispute cannot be settled amicably, both Parties are entitled to bring the matter before the Copenhagen City Court in the first instance.

19. OTHER PROVISIONS

19.1 If a provision in the Agreement is declared illegal, invalid or unenforceable, the provision must in spite of this be enforced to the greatest extent possible in accordance with current legislation so that the Parties’ original intention reflected. Such a provision does not affect the lawfulness or validity of other provisions.

19.2 Any provision in the agreement which according to its nature extends beyond the time when the Agreement ends in full or in part shall continue to apply and be binding on the Parties.

APPENDIX 1 TO GENERAL TERMS

DATA PROCESSING AGREEMENT
A. BACKGROUND AND PURPOSE

a. The Customer is the Data Processor and Penneo is the Data Controller, and the Customer has by signing the Salesagreement confirmed to have read and accepted this data processing agreement concerning the provision of digital services in the form of a Digital Signature and Validation Platform (validation of Social Security Number and registration with the Central Business Register (Company reg. no.)) based on the Nordic electronic ID systems for which NemID or BankID is used on the commencement of the Agreement (hereinafter the “Platform”).

b. In accordance with the Agreement, the Data Processor shall process personal data on behalf of the Data Controller in connection with the provision of the Platform.

c. This Data Processing Agreement (hereinafter the “Data Processing Agreement”) lays down the terms and conditions for the Data Processor’s processing of the personal data (as defined in the Legislation; cf. sub-clause A.d.) which the Data Controller provides to the Data Processor in pursuance of the Agreement in connection with use of the Platform (hereinafter the “Personal Data”). Unless otherwise expressly stated in the Data Processing Agreement, the other provisions of the Agreement shall apply.

d. The purpose of the Data Processing Agreement is to secure observance of the legislation on personal data in force at any time including the regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (“General Data Protection Regulation”) that entered into force on 25 May 2018 (hereinafter collectively referred to as “the Legislation”).

B. TYPES OF PERSONAL DATA AND THE GENERAL OBLIGATIONS OF THE DATA PROCESSOR

a. The types of Personal Data and categories of data subjects that the Data Processor is to process for the Data Controller as part of the performance of the Agreement and the Data Processing Agreement are stated in clause Q.

It is only the Data Controller who decides which Personal Data is to be processed by the Data Processor and for which purposes this personal data may be processed.

b. The Data Processor processes the Personal Data only in accordance with instruction from the Data Controller.

c. The Data Processor must process the Personal Data in accordance with the Legislation in force at any time. The Data Controller must ensure that all Personal Data which the Data Controller provides to the Data Processor is provided via functions in the Platform and is not sent via an insecure e-mail or in any other manner that is contrary to the Legislation.

d. In the event that the Danish or Norwegian Data Protection Agency makes an inquiry concerning the processing of the Personal Data, the Data Controller and the Data Processor must collaborate on answering questions, providing information or meeting requirements, if any.

C. LIST OF DATA PROCESSING ACTIVITIES

a. Not later than when the Personal Data Regulation enters into force, the Data Processor must keep a list of all categories of processing undertaken by the Data Processor on behalf of the Data Controller. The list, which is kept electronically, e.g. as log files, must contain:

  1. The name and contact information of the Data Processor, Data Sub-Processors (cf. sub-clause D.a.), the Data Controller and a Data Protection Officer, if any;

  2. The categories of the processing that the Data Processor or Data Sub-Processors undertake on behalf of the Data Controller; and

  3. A general description of the technical and organizational security measures; cf. clause E.

b. The list must be available in writing, including electronically. At the request of the Data Controller or the Norwegian or Danish Data Protection Agency, the Data Processor must at any time make the list available to the Data Controller and/or the Danish Data Protection Agency.

D. THE DATA PROCESSORS´ USE OF DATA SUB-PROCESSORS

a. The Data Controller hereby consents to the Data Processor being entitled to use Data Sub-Processors (“Data Sub-Processors”) to provide the services of the Data Processor in accordance with the Agreement. It is the responsibility of the Data Processor that Data Sub-Processors meet their data protection obligations in accordance with the Legislation.

b. On the conclusion of the Agreement, the Data Processor makes use of Amazon Web Platforms, Inc. (“AWS”) as Data Sub-Processor for storage of the Personal Data. AWS makes use of authorized sub-suppliers for the provision of the service to the Data Processor. The Customer can find a link to the website of AWS with all information on AWS’s compliance with the General Data Protection Regulation at https://aws.amazon.com/compliance/gdpr-center/.

c. The Data Processor notifies the Data Controller of any planned changes to the use of Data Sub-Processors, including the addition or replacement of Data Sub-Processors as well as the use of new Data Sub-Processors who are not subject to sub-clause D.b.

d. If the Data Controller cannot accept changes that are subject to sub-clause D.b. or sub-clause D.c., the Data Controller may terminate the Data Processing Agreement with a written notice of 14 days. Notwithstanding the provision in sub-clause 3.3. of the Agreement, the Agreement will automatically be terminated at the same time as the notice of termination of the Data Processing Agreement. The provisions of clause 3 of the Agreement will continue to apply without any changes. Payments made by the Customer are not refunded.

e. If a Data Sub-Processor is based in a third country outside the EU/EEA, it is the duty of the Data Processor to ensure that the Personal Data is kept within the EU/EEA and is not transferred to the third country in question unless transfer is necessary to comply with legislation in force that applies to the Data Processor or the Data Sub-Processors of the Data Processor or as a result of demands made by a competent public authority which are binding for the Data Processor or the Data Processor’s Data Sub-Processors. The Data Processor will give the Data Controller reasonable notice if such demands are made in relation to the Data Processor or the Data Sub-Processors of the Data Processor and will endeavor to enable the Customer to object or use relevant remedies unless the Data Processor or the Data Sub-Processors of the Data Processor is/are prevented from this in accordance with legislation in force.

E. INFORMATION SECURITY AND DATA PROTECTION REQUIREMENTS KRAV TIL INFORMASJONSSIKKERHET OG BESKYTTELSE AV DATA
  1. The Data Processor must take the necessary technical and organisational security measures against Personal Data being accidentally or unlawfully destroyed, lost or impaired and against any unauthorized persons receiving the Personal Data, the Personal Data being abused or otherwise processed contrary to the Legislation.  Such technical and organisational security measures include:

  2. Certification, including that the Data Processor is certified in accordance with the ISAE 3000 standard by KPMG, which means that KPMG has audited the internal security policies and security procedures of the Data Processor with a view to optimum protection of the documents of the Data Controller;

  3. Network security, transmission and storage, including the establishment of a login and password procedure (two factor authentication) as well as firewalls and antivirus software. All documents are stored in encrypted form and all communication to and from the Data Processor’s server(s) is encrypted. The Data Processor observes the encryption standards that are defined by the National Institute of Standards and Technologies (NIST). The Data Processor uses only encryption algorithms that are approved by the Federal Information Processing Standards (FIPS) and recommended by NIST;

  4. Matters relating to employees, including that only employees who are authorized have access to the Personal Data and that employees receive relevant training, adequate instructions in and guidelines for the processing of the personal data; cf. also clause G.;

a. Physical security, including that access to buildings and systems that are used in connection with the data processing is protected in an appropriate manner so that unauthorized third parties do not have access to them.

b. The Data Processor must implement and observe a security policy and guidelines for the processing of Personal Data in the Data Processor’s organization that are in accordance with and meet the terms and conditions that appear from this Data Processing Agreement and/or the instruction of the Data Controller at any time.

c. The Data Processor evaluates the security level with a view to initiating any necessary measures to maintain sufficient data security at any time.

F. SECURITY INCIDENTS

a. The Data Processor must establish and implement procedures for the handling of breaches of the personal data security; cf article 4 (12) and article 33 (2) of the General Data Protection Regulation. 

b. The Data Processor must without undue delay after having become aware of any data breach, inform the Data Controller in writing of the breach of the personal data security, including information on who has processed the data of the Data Controller and when with a view to enabling the Data Controller to have a criminal investigation performed.

c. In the event of breach of the personal data security, the Data Processor must without undue delay and not later than 36 hours after the Data Processor became aware of the breach of the personal data security inform the Data Controller in writing of the breach and as a minimum provide the following information:

  1. A description of the nature of the breach of the personal data security, including - if possible - the categories and the approximate number of data subjects affected as well as the categories and the approximate number of entries of personal data affected;

  2. A description of the likely consequences of the breach of the personal data security;

  3. A description of the measures that the Data Processor has made or has proposed should be made to handle the breach of the personal data security, including measures to limit its potential adverse effects.

  4. The name and contact information of the Data Protection Officer, if such an Officer has been appointed, by the Data Processor, or another contact point where additional information can be obtained.

d. When and in so far as it is not possible to provide the information collectively, the information may be provided in stages without any undue further delay.

e. The Data Processor’s notifications to the Data Controller on a breach of the personal data security in accordance with this clause F does not mean that the Data Processor has thereby acknowledged being in breach of the Agreement or being liable for damages in relation to the Data Controller for the breach of the personal data security in question.

G. HOME OFFICES

a. All workplaces at the Data Processor’s are laptop computers or the like. Irrespective of physical location, the access of the employees to the Platform and the systems of the Data Processor is protected in the same way. This means among other things that login and access to the Data Processor’s production environment always requires two-factor authentication and for the following operations at least two persons must work together: 

  • Changes of firewalls

  • Granting or revoking privileges

  • Access to backup

Access to the virtual infrastructure is only via encrypted channels. Access at OS level is via SSH and the primary purpose is to provide support to the software development process.

b. The Data Processor must lay down guidelines for the processing of Personal Data by employees.

H. THE OBLIGATION OF THE DATA PROCESSOR TO ASSIST THE DATA CONTROLLER 

a. In consideration of the nature of processing and the Personal Data that is to be processed by the Data Processor, the Data Processor must assist the Data Controller in securing observance of the provisions of the Legislation on the rights of data subjects as regards Personal Data. In this connection, the Data Processor must by means of suitable technical and organisational measures assist the Data Controller with the handling of inquiries from a data subject, including but not limited to a request for access, correction, blocking or deletion of Personal Data. In so far as the Data Controller can itself handle inquiries from a data subject via functions in the Platform, the Data Controller must make use of these.

b. Furthermore, in consideration of the nature of processing and the Personal Data that is to be processed by the Data Processor, the Data Processor must assist the Data Controller in observing other obligations that are imposed on the Data Controller in accordance with the Legislation where this is contemplated or is necessary for the Data Controller to meet its obligations. As part of this, the Data Processor must assist the Data Controller in ensuring observance of among other things the obligations in pursuance of articles 32-36 of the General Data Protection Regulation.

c. The Data Processor is entitled to demand payment for services in accordance with this clause H only in accordance with the prices specified at www.penneo.com.

I. AUDIT AND AUDIT OPINION 

a. At the request of the Data Controller, the Data Processor must give the Data Controller such information as is necessary for the Data Controller to ensure that the Data Processor and its Data Sub-Processors comply with the requirements that are laid down in the Data Processing Agreement, including that they have taken the necessary technical and organisational security measures and that the measures are observed.

b. At the written request of the Data Controller, the Data Processor must provide documentation that the security measures have been implemented at the Data Processor’s.

c. The Data Controller can via an auditor or another trusted party who is approved by the Data Controller and the Data Processor perform an unannounced audit (within normal working hours) that the Data Processor meets its obligations including a audit of and possibly follow-up on user access and rights. 

d. Once a year, the Data Processor gives the Data Controller access to the audit opinions ISAE 3000 (type 2). The opinions/declaration must be given after the end of each calendar year so that it is available to the Data Controller no later than on 31 March.

e. In addition, the Data Controller is entitled for its own account to have an independent third party make an annual audit of the Data Processor’s processing of Personal Data.

f. The Data Processor is obliged to allow authorities who in accordance with the legislation in force at any time have access to the facilities of the Data Controller and the Data Processor or representatives who act on behalf of the authority access to the physical facilities of the Data Processor against due identification and the prior signing of a non-disclosure declaration.

J. OBLIGATIONS AND RESPONSIBILITIES OF THE DATA CONTROLLER 

a. It is the responsibility of the Data Controller to ensure that the necessary basis in accordance with the Legislation for the processing of Personal Data is available and in connection with the processing of Personal Data the Data Controller must observe and comply with the Legislation.

b. The Data Controller must observe the security instructions in force at any time on which the Data Processor may provide information to the Data Controller concerning access to and use of the Platform.

c. The Data Controller must indemnify the Data Processor for legal proceedings, claims, costs (including reasonable expenses for legal assistance), losses, liability, expenses or damage that is/are a consequence of the Data Controller’s non-observance of the Legislation or the security instructions provided by the Data Processor concerning access to or use of the Platform, or any other breach of this Data Processing Agreement. Reference is also made to clause N.c.

K. COSTS AND PAYMENT

a. The Data Processor is entitled to demand payment for Platforms that the Data Processor provides to the Data Controller in accordance with this Data Processing Agreement only in accordance with the prices specified at www.penneo.com.

L. AMENDMENTS TO THE DATA PROCESSING AGREEMENT

a. Each Party may at any time with a reasonable prior written and reasoned notice demand amendments to the Data Processing Agreement if the amendment is necessary to observe the Legislation in force at any time.

b. The Data Processing Agreement may furthermore at any time be adjusted at a written notice of 30 (thirty) calendar days if the Data Controller wants to adjust the types of Personal Data or the categories of data subjects stated in clause Q.

c. If there is a significant change to or adjustment of the Data Processing Agreement in pursuance of clause L.a. or clause L.b. to the disadvantage of the Data Processor, the Data Processor may terminate the Data Processing Agreement at a notice of 3 months to expire at the end of a month, notwithstanding sub-clause 3.3. of the Agreement. Payments made by the Customer are not refunded.

M. HANDLING OF DATA AFTER TERMINATION OF THE DATA PROCESSING AGREEMENT

a. Upon termination of the Data Processing Agreement, irrespective of the cause, the provisions of sub-clauses 3.4 - 3.6 of the Agreement apply.

b. If doubt arises after the termination of the Data Processing Agreement as to whether all Personal Data has been deleted, the Data Controller can request that the Data Processor obtain an audit opinion (on the account for the Data Controller) to the effect that the Personal Data has been deleted from the IT systems of the Data Processor.

N. BREACH

a. If the Data Processor receives notice from the Data Controller, or the Data Controller learns of non-compliance of requirements according to the Legislation or the instruction of the Data Controller for processing of Personal Data, the Data Processor must without undue delay remedy the non-compliance.

b. Generally, the provisions of clause 18 of the Agreement apply with the necessary changes in the case of a Party’s breach of the Data Processing Agreement.

c. A Party is obliged to indemnify the other Party for expenses and use of resources in connection with the fulfilment of the obligations of a Party in relation to a supervisory authority or the data subject as well as fines imposed by a supervisory authority or a court in so far as these are caused by the breach of the other Party.

O. NON-DISCLOSURE DECLARATION

a. The Data Processor ensures that its employees who are given access to information from the Data Controller have signed a non-disclosure declaration to the effect that they are under an obligation to maintain confidentiality in relation to unauthorized persons as regards their access to the data of the Data Controller. The duty of confidentiality applies both during their employment and after termination of their employment.

b. The Data Processor must ensure that Data Sub-Processors, employees and others who assist the Data Processor in connection with performance of the Agreement and the Data Processing Agreement are subject to obligations that correspond to the obligations in these agreements.

P. OTHER PROVISIONS

a. In case of any discrepancy between the Data Processing Agreement and the Trading Agreement, the Data Processing Agreement takes precedence.

Q. CATEGORIES OF PERSONAL DATA AND DOCUMENTS

a. The Agreement may include all categories of personal data and all categories of data subjects whose personal data the Data Processor is to process as part of the performance of the Agreement.

b. In order for the Platform to function in accordance with clause 2 in the Agreement the following personal data will be processed each time an employee of the Data Controller or a third party signs a document: 

  • Name,

  • IP-address,

  • e-mail address,

  • Electronic ID informations, and

  • social security number, if this is chosen by the Data Controller for each document send for signing to a third party. 

c. The categories of data subjects, whose personal data will be processed by the Data Processor as part of this Agreement, includes third parties, cf. the Agreement clause 13, and the Data Controllers employees, who sign documents by using the Platform.

APPENDIX 2 TO GENERAL TERMS 

Extension of the Platform, use in excess of the subscription plan and data retention
1. ADDITIONAL USE

1.1 The Customer is at any time allowed to exceed the use of the Platform included in the subscription plan. This can either be done without prior agreement ("additional use") or by agreement on extending the platform by purchase of Platform Fee.

  • a. Purchase of Platform Fee provides the Customer an extension of the Platform to use a certain additional number of signatures in addition to the number of signatures included in the subscription plan. Invoicing of Platform Fee takes place simultaneously with the purchase, regardless of when during a subscription period the purchase is agreed. When entering into this Agreement, the price for such Platform extension is equal to EUR 1.78 per signature.

  • b. Additional use on the Platform without prior agreement is invoiced at the end of the subscription period at the price in force at any time. When entering into this Agreement, the price for such Platform extension is equal to EUR 2,50 per signature as additional use.

1.2 The above-mentioned prices for extension of the Platform - both Platform Fee and additional use - cover the total use of the system and additional services according to the Customer's subscription plan.

2. ADDITIONAL USERS

2.1 The Customer is at any time allowed to add additional users than the maximum number of users specified in sub-clause 4.1. of the Trading Agreement. Additional users will be invoiced at the time when the additional users are created by the customer.

3. DATA RETENTION

3.1 Storing of the Customer's documents is included in the subscription price for the Platform during the following period, calculated from Time of Commencement:

  • Start-up: 1 year

  • Premium: 5 years

After the expiry of the data retention period, Penneo is entitled to invoice the Customer  for the storage of Customer's documents in the Platform. At the Time of Commencement of this Agreement, the price for data retention is equal to EUR 1.00 per month per commenced 100 completed casefiles.

Norsk oversettelse:

GENERELLE VILKÅR OG DATABEHANDLERAVTALE PENNEO

Disse generelle vilkår heretter kalt “Avtalen”, regulerer rettigheter og plikter mellom Penneo ApS CVR nr. 35633766 (dansk organisasjonsnummer), heretter kalt «Penneo», og et selskap, organisasjon eller fysisk person, heretter kalt “Kunden”, når det gjelder bruk av Penneo sine tjenester.

Som en service overfor Kunden er disse generelle vilkår oversatt til norsk.  Dersom det er avvik i ordlyden eller i forståelsen av innholdet mellom den engelske ordlyden og den norske oversettelsen, er det ordlyden i og/ eller forståelsen av de engelske vilkårene som skal legges til grunn.

Penneo og Kunden kalles hver for seg for ”Part” og i fellesskap for ”Partene”.

1. ANVENDELSE OG OMFANG

1.1 Denne Avtalen gir Kunden tilgang til Penneos systemer og tjenester ("Plattformen"), der Kunden får tilgang til avtalte tjenester. Med Plattformen har Kunden muligheten til å behandle egne dokumenter og / eller data for signatur / godkjenning i henhold til valgt abonnementstype.

1.2 Avtalen gjelder levering av Plattformen og eventuelle tilleggstjenester levert av Penneo ApS ("heretter" Penneo ") til Kunden, med mindre den er uttrykkelig frafalt eller endret ved en annen skriftlig avtale og det med sikkerhet kan sies at meningen var å fravike Avtalen.

1.3 Partene ønsker å inngå et samarbeid der Penneo leverer Plattformen til Kunden.

1.4 Hensikten med Avtalen er å fastsette vilkårene for Penneos levering av Plattformen til Kunden.

2. PLATTFORMEN

2.1 Plattformen tilbys Kunden som programvare som en tjeneste ("SaaS"), slik at Kunden kan koble seg til Penneos server, eller en server tilknyttet en av Penneos samarbeidspartnere, via Internett og / eller Penneos API, og dermed få tilgang til Plattformen.

2.2 Det er en forutsetning for å bruke Plattformen at Kunden laster opp dokumentene i standard PDF-format. Dokumentene som blir returnert av Penneo etter signeringsprosessen er fullført vil imidlertid være i PAdES-PDF-format. De returnerte filene inneholder alle signaturbevis, er låst for redigering og er aktivert for langvarig lagring (LTV) ved retur til Kunde og tredjepart.

3. VARIGHET OG OPPHØR AV AVTALEN

3.1 Denne Avtalen trer i kraft ved undertegning av Salgsavtalen mellom Wolters Kluwer Norge AS og Kunden (“ikrafttredelsesdato”).

3.2 Det er en bindingsperiode (abonnement) for tilgang til Plattformen på 12 måneder fra ikrafttredelsesdatoen.

3.3 Hver av Partene kan si opp Avtalen med skriftlig varsel innen 3 måneder før utløpet av abonnementsperioden. Hvis Avtalen ikke blir sagt opp innen 3 måneder før utløpet av abonnementsperioden, utløses en ny abonnementsperiode på 12 måneder.

3.4 Ved avslutningen av dataenes oppbevaringsperiode (Oppbevaring av data - avhenger av hvilken type abonnement som er valgt), forplikter Penneo seg til å oppbevare alle Kundens data som Penneo er i besittelse av i en ytterligere periode på 90 dager.

3.5 Kunden har til enhver tid i perioden som er angitt i pkt. 3.4. tilgang sin konto hos Penneo for å hente eller slette data helt eller delvis. Kundens data leveres i formatene som brukes i Penneos eller underleverandørens system (er), og dataene blir ikke behandlet / konvertert, med mindre annet er uttrykkelig avtalt mellom Kunden og Penneo.

3.6 Utlevering av Kundens Data i bearbeidet eller konvertert form kan avtales særskilt mot betaling.

4.    DRIFTSSTABILITET OG SUPPORT

4.1 Penneo sikrer stabil drift, men er ikke ansvarlig for forstyrrelser forårsaket av faktorer utenfor Penneos kontroll. Penneo gjenoppretter normal drift så snart som mulig.

4.2 Penneo besørger tilgjengeligheten til Plattformen i Avtalens løpetid som beskrevet nedenfor:

4.2.1 99,9 % oppetid.

4.2.2 Oppetid måles og beregnes pr. kalendermåned basert på driftstider 24/7. Ved beregning av oppetid inkluderer dette ikke nedetid som er lovlig varslet i henhold til Avtalen, eller som på annen måte er uttrykkelig akseptert av Kunden;

4.2.3 Kunden kan når som helst se status for Penneos oppetid på www.penneo.com under support, driftsstatus, jfr. pkt. 8.1. og 8.2.

5. SIKKERHETSBESTEMMELSER

5.1 Alle dokumenter er lagret kryptert og all kommunikasjon til og fra Penneos server(e) er kryptert, i tillegg til etablerte brannmurer for å sikre programvaren. Penneo kan imidlertid ikke garantere mot hackerangrep som forårsaker systemkrasj og / eller datatap.

6. LAGRING OG BACKUP

6.1 Kundedata og backupmedier er lokalisert hos Penneos underleverandør (Amazon Web Services, Inc. ("AWS")). All data lagres i EU. EU (Dublin) Region og EU (Frankfurt) Region.

6.2 Penneo bruker to sikkerhetskopieringsstrategier for separate dataklasser, som er beskrevet mer detaljert i pkt. 6.3. og 6.4.:
•    Kundedata
•    Systemdata

6.3 Kundens data lagres på flere separate fysiske steder. Kundens dokumenter er versjonert for å kunne rulle tilbake endringer. Sletting av dokumenter inkludert versjoner kan bare gjøres av minst to personer i fellesskap.

6.4 Penneo foretar daglig inkrementell sikkerhetskopiering av systemdata. Disse lagres i minst 14 dager. Alle data i Penneos produksjonsmiljø lagres på minst to separate fysiske steder.

6.5 Alle Kundens dokumenter lagres i Plattformen i henhold til dokumentoppbevaringsperioden (datalagring) for det valgte abonnementet, med mindre Avtalen sies opp i mellomtiden. I slike tilfeller kommer pkt. 3.4. til 3.6. til anvendelse. Kundens dokumenter vil bare bli lagret utover oppbevaringsperioden dersom det er inngått en egen avtale mellom Kunden og Penneo om slik lagring.

6.6 Dersom en systemsvikt – uansett årsak - forårsaker tap eller skade på Kundens data, vil Penneo, etter at feilen / skaden er funnet, enten på eget initiativ eller på forespørsel fra Kunde, gjenopprette kundedata fra de relevante backup lokasjoner. I dette tidsrommet kan Kundens data være utilgjengelige, dog maksimalt i 24 timer.

7. VEDLIKEHOLD

7.1 For å kunne tilby en best mulig tjeneste, er det nødvendig å utvide / erstatte teknisk utstyr med jevne mellomrom og lage programvareoppdateringer etc. Penneo utfører derfor løpende vedlikehold og oppdatering av Plattformen.

7.2 Vedlikehold og / eller oppdateringer varsles til Kunden via Penneos nettsted.

7.3 Penneos API er tilgjengelig i ulike versjoner. Når en ny versjon slippes, har Penneo som mål å sørge for at den nye versjonen ikke påvirker tidligere versjoner. Penneo kan imidlertid ikke garantere at nye versjoner av API-er ikke krever ny utvikling av Kunden. I tilfelle Penneo ikke lenger støtter en API-versjon, må Penneo varsle dette minimum 6 måneder før den aktuelle API-versjonen tas i bruk.

7.4 I forbindelse med vedlikehold kan det være nødvendig å stenge tilgangen til Plattformen. Slike avbrudd vil fortrinnsvis bli plassert i tidssonen kl. 21.00 - 06.00 CET. Hvis tilgangen til Plattformen blir avbrutt utenfor den angitte tidsperioden, vil dette bli varslet på forhånd, med mindre tekniske eller sikkerhetsmessige årsaker gjør det nødvendig å endre systemet med øyeblikkelig varsel.

8. FEILMELDING

8.1 Dersom Kunden finner feil eller uregelmessigheter, kan Kunden sjekke om forholdet er registrert på status.penneo.com.

8.2 Dersom forholdet ikke allerede er registrert, må Kunden kontakte Penneo uten unødig opphold, jfr. 8.3.

8.3 Ved feilmelding, skal Kunden rapportere feilen ved å bruke Penneos online feilrapporteringsprosedyre, kalt support, slik at Penneo får nødvendig informasjon for å lokalisere feilen umiddelbart.

9. SUPPORT

9.1 Support og programvareoppdateringer er inkludert i abonnementsprisen. Penneo tilbyr flere supportalternativer. Tilgang til dette avhenger av hvilken type abonnement som er valgt. Særlige supporthenvendelser eller individuelle systemtilpasninger faktureres separat. Dette gjelder både telefonisk og skriftlig support.

10. ANSVARSBEGRENSNING

10.1 Hver av partene er erstatningsansvarlige i samsvar med de alminnelige regler i dansk rett med følgende begrensninger, slik at begrensningene bare gjelder dersom tapet ikke kan tilskrives grov uaktsomhet eller forsettlige forhold hos den skadevoldende part.

10.2 Penneo fraskriver seg ansvar for indirekte- eller følgeskader, inkludert, men ikke begrenset til, driftstap, tapt fortjeneste, tap av kundedata og goodwill hos Kunden.

Bortsett fra produktansvar, jfr. pkt. 10.4, er det totale erstatningsbeløp Kunden kan kreve overfor Penneo i henhold til Avtalen begrenset til minst følgende:

  • den totale betalingen som Penneo mottok fra Kunden i henhold til denne Avtalen på tidspunktet for skaden, eller

  • DKK 25 000 pr. skade pr. år.

10.3 Penneo er ansvarlig for produktansvar i samsvar med de generelle regler i dansk lov for skader. Imidlertid er Penneos ansvar i hvert tilfelle begrenset til beløpet som er utbetalt i henhold til Penneos enhver tid gjeldende produktansvarsforsikring.

10.4 Penneo er pålagt å opprettholde et alminnelig og forsvarlig forsikringsnivå, inkludert minst en produktansvarsforsikring og en kommersiell ansvarsforsikring for å dekke Penneos ansvar i henhold til Avtalen.

11. RETTEN TIL DATA

11.1 Kunden beholder eierskapet til egne data og resultatene av behandlingen av data.

11.2 Penneo kan ikke utøve tilbakeholdelsesrett i Kundens data.

12. BEHANDLING AV TREDJEPARTSDATA

12.1 For å bruke Plattformen oppretter Kunden en profil med en tilknyttet konto hos Penneo, og Kunden laster deretter løpende opp dokumenter og andre data, inkludert personopplysninger, til sin konto hos Penneo for signering av Kundens dokumenter (i Avtalen kalt "Kundens Data").

12.2 Tredjeparter, som skal signere Kundens dokumenter (heretter "Tredjepart"), oppretter en uavhengig profil og tilknyttet konto med Penneo. Tredjepart laster opp sine data, inkludert personopplysninger, til sin konto hos Penneo i forbindelse med signering av Kundens dokument (er) (heretter kalt "Tredjepartsdata").

12.3 Kunden og alle Tredjeparter vil motta en kopi av de signerte dokumentene, samt dokumentene som er lagret og oppbevart av Penneo. Både Kunden og alle Tredjeparter har selvstendig tilgang til de signerte dokumentene hos Penneo gjennom sine respektive kontoer hos Penneo.

12.4 I forholdet mellom Kunde og Penneo er Penneo Databehandler og Kunden er Behandlingsansvarlig. Kunden har ved å signere Salgsavtalen med Wolters Kluwer erklært at han har lest og godkjent Databehandleravtalen i vedlegg 1 (heretter kalt "Databehandleravtalen"), som regulerer Penneos behandling av de av Kundens data som er personopplysninger.

13. FORCE MAJEURE

13.1 Dersom Penneo ikke kan utføre sine tjenester etter Avtalen som følge av force majeure, kan Penneo ikke gjøres ansvarlig som følge av tap i den anledning, likesom Kunden ikke kan heve Avtalen, jf. dog pkt. 13.3.
Penneo skal informere Kunden uten ugrunnet opphold dersom det oppstår en force majeure-situasjon. Force majeure er et forhold, som Penneo ikke har noen innflytelse på, og som Penneo ikke innenfor rimelige økonomiske og praktiske foranstaltninger kan omgå. Force majeure er f.eks. krig, mobilisering, terrorangrep, svikt/brudd i offentlig elforsyning, streik, brann, oversvømmelse mv.

13.2 Såfremt tilgjengeligheten til Tjenesten i det vesentligste er stengt som følge av force majeure, og dette varer i mer enn 30 dager, kan hver av Partene skriftlig si opp Avtalen med øyeblikkelig virkning, men kan ikke i den forbindelse gjøre krav gjeldende mot den annen Part.

14. IMMATERIELLE RETTIGHETER

14.1 Kunden er gjort kjent med at Tjenesten er opphavsrettslig beskyttet og Kunden erverver kun en ikke- eksklusiv, betinget bruksrett til Tjenesten. Bruksretten er betinget av Kundens betaling og overholdelse av Avtalen. Kunden er gjort uttrykkelig oppmerksom på at bruksretten er tidsbegrenset, slik at denne automatisk bortfaller ved opphør av Avtalen, uansett årsak. Bruksretten kan ikke overdras.

14.2 Kunden er kun berettiget til å anvende Tjenesten til bruk i Kundens egen virksomhet.

14.3 Kunden erklærer seg innforstått med og vil respektere opphavsrettighetene. Kunden hefter for Kundens ansatte samt eksterne rådgiveres overholdelse av rettighetene til Tjenesten ved bruk, og Kunden er forpliktet til å sørge for at Kundens ansatte samt eksterne rådgivere gjøres uttrykkelig oppmerksom på, at Tjenesten er opphavsrettslig beskyttet og bare må benyttes i overensstemmelse med vilkårene i Avtalen.

15. FORTROLIGHET OG TAUSHETSPLIKT

15.1 Partene forplikter seg til i Avtalens løpetid og etter dennes opphør overfor uvedkommende å bevare taushet om alle opplysninger mottatt fra og om den andre Part, som en Part får kjennskap til i forbindelse med Avtalen og levering av Tjenesten til Kunden. Partene må kun benytte slike opplysninger i overensstemmelse med Avtalen og skal ikke videregi opplysningene, medmindre videregivelse er påkrevd i henhold til lov, rettskjennelse eller pålegg fra offentlig myndighet. Foranstående gelder dog ikke opplysninger som er allment kjent eller offentlig tilgengelige, og som ikke i henhold til lovgivningen er underlagt taushetsplikt.

16. MARKEDSFØRING OG KOMMUNIKASJON MELLOM PARTENE

16.1 Penneo og Wolters Kluwer kan bruke Kunden som referanse, medmindre Kunden har tatt uttrykkelig og skriftlig forbehold mot dette.

16.2 Ved sin signatur på salgsavtalen med Wolters Kluwer gir Kunden Penneo rett til å sende service- og informasjons meddelelser til Kunden via e- post. Denne kan inneholde nyhetsbrev og annen markedsføring og informasjon vedrørende Tjenesten og Penneos øvrige produkter og tjenester.

16.3 Kunden kan til enhver tid avmelde seg fra nyhetsbrev og annen markedsføring.

16.4 E-poster som inneholder driftsinformasjon er obligatoriske, idet de har betydning for Kundens bruk av Plattformen.

16.5 Partene kan benytte e-post til å sende juridiske meddelelser relatert til Avtalen.

16.6 En e-post er kommet frem når den er mottatt i mottagerens e-postsystem og den under normale omstendigheter vil være tilgengelig for mottageren. At en e-post på grunn av problemer i mottagerens e-postsystem konkret ikke er tilgengelig, er derfor mottakerens risiko. Det er Partenes ansvar å informere om endringer i sine kontaktopplysninger.

17. MISLIGHOLD

17.1 Dersom en av Partene vesentlig misligholder Avtalen, kan den ikke-misligholdende Part oppheve Avtalen uten ytterligere varsel, såfremt forholdet ikke er bragt til opphør innen 10 virkedager regnet fra avgivelse av skriftlig påkrav til den misligholdende Part.

17.2 Ved konkurs, likvidasjon, tvangsoppløsning, tvangsakkord, akkord eller lignende, er den annen Part berettiget til å heve Avtalen med øyeblikkelig virkning.

17.3 Dersom Kunden ikke betaler for Plattformen i overensstemmelse med Salgsavtalen, har Penneo rett til med 20 dages forutgående varsel å stenge adgangen til Plattformen. Kundens adgang etableres først på ny når forfalte beløp er mottatt hos Wolters Kluwer.

17.4 Dersom Penneo hever Avtalen som følge av Kundens mislighold, herunder mislighold av betaling, er Penneo berettiget til å beholde den allerede erlagte forskuddsbetaling. Hever Kunden Avtalen som følge av Penneo sitt mislighold, skjer hevingen kun for fremtiden, og Kunden kan kreve betaling tilbakebetalt fra og med den måned, hvor misligholdet oppstod.

18. TVISTER

18.1 Partene er enige om at Avtalen er inngått i henhold til dansk rett, og at enhver tvist mellom Partene skal avgjøres etter dansk rett.

18.2 Tvister skal forsøkes løst i minnelighet ved forhandlinger mellom Partene. Dersom en tvist ikke kan løses i minnelighet, er begge Parter berettiget til å bringe saken inn for København byrett i første instans.

19. ANDRE BESTEMMELSER

19.1 Dersom en bestemmelse i Avtalen erklæres lovstridig, ugyldig eller uten rettskrav, skal bestemmelsen allikevel håndheves i størst mulig utstrekning etter gjeldende rett, slik at Partenes opprinnelige hensikt avspeiles. En slik bestemmelse berører ikke andre bestemmelsers lovlighet og gyldighet.

19.2 Enhver bestemmelse i Avtalen, som etter sin natur strekker seg ut over det tidspunkt, hvor Avtalen opphører helt eller delvis, skal fortsatt være gjeldende og bindende for Partene.

VEDLEGG 1 TIL ALMINNELIGE VILKÅR

DATABEHANDLERAVTALE

A.    BAKGRUNN OG FORMÅL

a. Kunden er Behandlingsansvarlig og Penneo er Databehandler, og Kunden har ved å signere Salgsavtalen bekreftet å ha lest og godtatt nedenstående denne databehandleravtalen om levering av digitale tjenester i form av en digital signatur- og valideringstjeneste (validering av fødselsnummer og registrering i det sentrale virksomhetsregisteret (organisasjonsnummer)) Basert på at de nordiske elektroniske ID-systemene som NemID eller BankID brukes ved iverksettelsen av Avtalen (heretter "Plattformen").

b. I henhold til Avtalen skal Databehandleren behandle personopplysninger på den Behandlingsansvarliges vegne i forbindelse med levering av Plattformen.

c. Denne Databehandleravtalen (heretter kalt "Databehandleravtalen") angir vilkårene og betingelsene for Databehandlerens behandling av personopplysningene (som definert i lovgivningen, jf. avsnitt a-d), som Behandlingsansvarlig overlater til Databehandler i henhold til Avtalen (heretter " Personopplysninger"). Med mindre annet uttrykkelig er angitt i Databehandleravtalen, gjelder bestemmelsene i Avtalen i tillegg.

d. Databehandleravtalen har som formål å sikre samsvar med personopplysningsloven som til enhver tid gjelder, inkludert Europa-Parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av enkeltpersoner med hensyn til behandling av personopplysninger og om fri utveksling av informasjon. slik informasjon og om opphevelse av direktiv 95/46 / EF ("Forordningen om personopplysninger"), som trådte i kraft 25. mai 2018 (heretter kalt "Lovgivningen").

B. TYPER AV PERSONOPLYSNINGER OG DATABEHANDLERENS GENERELLE FORPLIKTELSER

a. De ulike typer av personopplysninger og kategorier av registrerte personer som Databehandleren behandler for Behandlingsansvarlig som en del av oppfyllelsen av Avtalen og Databehandleravtalen, er listet opp i punkt. Q.

b. Det er Behandlingsansvarlig som bestemmer hvilke Personopplysninger, som skal behandles av Databehandleren, samt formålet med behandlingen av disse. 

c. Databehandleren behandler Personopplysninger kun etter instruksjon fra Behandlingsansvarlig. 

d. Databehandleren må behandle Personopplysningene i samsvar med den til enhver tid gjeldende Lovgivningen. Behandlingsansvarlig må sørge for at alle Personopplysninger som Behandlingsansvarlig overfører til Databehandleren er via funksjoner i Plattformen og ikke sendes via usikker e-post eller på annen måte som er i strid med lovgivningen.

e. Dersom det norske eller danske datatilsynet forespør vedrørende behandlingen av Personopplysningene, skal Partene samarbeide om tilbakemeldingen og eventuelle krav som skal oppfylles.

C. FORTEGNELSE OVER BEHANDLINGSAKTIVITETER

a. Senest når personopplysningloven trer i kraft, skal Databehandleren føre en oversikt over alle kategorier av behandling som utføres av Databehandleren på vegne av Behandlingsansvarlig. Listen som er elektronisk f.eks. loggfiler, skal inneholde:

  1. Navn og kontaktinformasjon til Databehandleren og Underdatabehandlere, jf pkt. D.a, Behandlingsansvarlig og eventuelt personvernombud.

  2. Kategoriene av Personopplysninger som Databehandleren eller Underdatabehandleren behandler for Behandlingsansvarlig; og

  3. En generell beskrivelse av tekniske og organisatoriske sikkerhetstiltak, jf pkt. E.

b. Beskrivelsen må være skriftlig, inkludert elektronisk. Databehandleren skal på forespørsel fra Behandlingsansvarlig eller det norske eller danske Datatilsynet til enhver tid gjøre beskrivelsen tilgjengelig for disse.

D. DATABEHANDLERENS BRUK AV UNDERDATABEHANDLERE

a. Behandlingsansvarlig samtykker i at Databehandleren kan bruke underdatabehandlere ("Underdatabehandlere”) til å oppfylle Databehandlerens forpliktelser i henhold til Avtalen. Det er Databehandlerens ansvar at alle Underdatabehandlere oppfyller sine personvernforpliktelser i henhold til Lovgivningen.

b. Ved inngåelse av Avtalen bruker Databehandleren Amazon Web Services, Inc. ("AWS") som Underdatabehandler for lagring av Personopplysningene. AWS bruker autoriserte underleverandører for å levere tjenesten til Databehandleren. En lenke til AWS 'nettsted med all informasjon om AWS’ etterlevelse av personvernlovgivningen (inkludert personopplysningsforordningen) er tilgjengelig på https://aws.amazon.com/compliance/gdpr-center/.

c. Databehandleren skal varsle Behandlingsansvarlig om planlagte endringer i bruken av Underdatabehandlere, inkludert tillegg eller utskifting av Underdatabehandlere og bruken av nye Underdatabehandlere som ikke er omfattet av pkt. D.b.

d. Dersom Behandlingsansvarlig ikke kan godta endringene dekket av pkt. D.b. eller D.c., kan Behandlingsansvarlig avslutte Databehandleravtalen med 14 dagers skriftlig varsel. Til tross for Avtalens pkt. 3.3. opphører Avtalen samtidig med Databehandleravtalen. Bestemmelsene i Avtalen pkt. 3. gjelder ellers uendret. Betalinger erlagt av Kunden kan ikke refunderes.

e. Dersom en Underdatabehandler er etablert i et tredjeland utenfor EU / EØS, er Databehandleren ansvarlig for at Personopplysningene blir oppbevart innenfor EU / EØS og ikke blir overført til tredjeland med mindre overføring er påkrevd for å overholde lovgivningen som gjelder for Databehandleren eller dens Underdatabehandlere eller som et resultat av krav fra en kompetent offentlig myndighet som er bindende for Databehandleren eller dens Underdatabehandlere. Databehandleren vil gi Behandlingsansvarlig rimelig varsel dersom slike krav fremsettes til Databehandleren eller dens Underdatabehandlere, og vil gi Kunden mulighet til å komme med innsigelser eller andre relevante rettsmidler, med mindre Databehandleren eller dens Underdatabehandlere er forhindret etter gjeldende lovgivning.

E. KRAV TIL INFORMASJONSSIKKERHET OG BESKYTTELSE AV DATA

a. Databehandleren må foreta de nødvendige tekniske og organisatoriske sikkerhetstiltak mot utilsiktet eller ulovlig ødeleggelse, sletting eller forringelse av Personopplysningene og mot at uvedkommende får kjennskap til disse eller at Personopplysningene på annen måte behandles i strid med Lovgivningen. Slike tekniske og organisatoriske sikkerhetstiltak inkluderer:

b. Sertifisering, inkludert at Databehandleren er sertifisert til ISAE 3000-standarden av KPMG, noe som betyr at KPMG har revidert Databehandlerens interne sikkerhetspolicyer og prosedyrer for å sikre Behandlingsansvarliges dokumenter optimalt;

c. Nettverkssikkerhet, overføring og lagring, inkludert etablering av innloggings- og passordprosedyre (tofaktorautentisering) samt brannmurer og antivirusprogramvare. Alle dokumenter lagres kryptert og all kommunikasjon til og fra Databehandlerens serveren/ere er kryptert. Databehandleren følger krypteringsstandardene definert av National Institute of Standards and Technologies (NIST). Databehandleren bruker kun krypteringsalgoritmer godkjent av Federal Information Processing Standards (FIPS) og anbefalt av NIST;
Ansatteforhold; det er kun ansatte som er autorisert som har tilgang til Personopplysningene, og disse ansatte får relevant opplæring, tilstrekkelige instruksjoner og retningslinjer for behandling av personopplysninger, jf pkt. G.;

d. Fysisk sikkerhet, inkludert adgang til bygninger og systemer som brukes i forbindelse med databehandling, er sikkert sikret slik at disse ikke er tilgjengelige for uautoriserte tredjeparter.

e. Databehandleren skal implementere og overholde en sikkerhetspolicy og retningslinjer for behandling av Personopplysninger i Databehandlerens organisasjon som til enhver tid oppfyller vilkårene og betingelsene som er angitt i denne Databehandleravtalen og / eller Behandlingsansvarliges instruksjoner.

f. Databehandleren evaluerer kontinuerlig sikkerhetsnivået og vil ta de nødvendige skritt for å opprettholde tilstrekkelig datasikkerhet til enhver tid.

F. SIKKERHETSHENDELSER

a. Databehandleren skal opprette og implementere prosedyrer for håndtering av brudd på personvernsikkerheten, jf. personvernforordningen art. 4 (12) og art. 33. pkt. 2.

b. Databehandleren skal uten unødig opphold varsle Behandlingsansvarlig skriftlig om brudd på personvernsikkerheten, herunder opplysninger om hvem som har behandlet den Behandlingsansvarliges informasjonen og tidspunktet for bruddet. Dette for å gjøre det mulig for Behandlingsansvarlig å utføre politimessig etterforskning av bruddet. 

c. Ved brudd på personvernsikkerheten skal Databehandleren uten unødig opphold varsle Behandlingsansvarlig skriftlig. Varslingen skal senest skje 36 timer etter at Databehandleren har blitt kjent med bruddet og varselet skal minst inneholde:

  1. En beskrivelse av arten av bruddet på personvernsikkerheten, inkludert - om mulig - kategoriene og circa antall registrerte som er berørt, samt kategoriene og circa antall Personopplysninger som er berørt;

  2. En beskrivelse av de sannsynlige konsekvensene av bruddet på personvernsikkerheten;

  3. En beskrivelse av tiltakene som er iverksatt eller foreslått iverksatt av Databehandleren for å håndtere bruddet på personvernsikkerheten, inkludert tiltak for å dempe potensielle skadevirkninger;

  4. Navn og kontaktinformasjon til Personvernombudet, dersom en er utpekt av Databehandleren, eller et annet kontaktpunkt der ytterligere informasjon kan fås.

d. Dersom det ikke er mulig å gi informasjonen samlet, kan informasjonen formidles trinnvis uten unødig ytterligere opphold.

e. Databehandlerens varsler til den Behandlingsansvarlige om brudd på personvernsikkerheten i henhold til dette pkt. F. innebærer ikke, at Databehandleren har erkjent å ha misligholdt Avtalen eller å være erstatningsansvarlig overfor Behandlingsansvarlig for det brudd på personvernsikkerheten.

G. HJEMMEKONTOR

a. Alle arbeidsstasjoner hos Databehandleren er bærbare datamaskiner eller lignende. Uansett fysisk beliggenhet er ansattes tilgang til Plattformen og Databehandlerens systemer sikret på samme måte. Dette betyr blant annet at innlogging og tilgang til Databehandlerens produksjonsmiljø alltid krever tofaktorautentisering og følgende operasjoner krever at minst to personer må samarbeide:

  • endringer i brannmurer

  • tildeling og fratakelse av rettigheter

  • tilgang til sikkerhetskopiering

Tilgang til den virtuelle infrastrukturen fåes bare gjennom krypterte kanaler. Tilgang på OS-nivå gjøres via SSH og det primære formålet er å støtte programvareutviklingsprosessen.

b. Databehandleren skal fastsette retningslinjer for medarbeidernes behandling av Personopplysninger.

H. DATABEHANDLERS PLIKT TIL AT BISTÅ BEHANDLINGSANSVARLIG

a. Databehandleren skal, hensyntatt arten av behandlingen og personopplysningene som behandles av Databehandleren, bistå Behandlingsansvarlig med å overholde lovgivningen om den registrertes rettigheter knyttet til Personopplysninger. Databehandleren skal, ved bruk av passende tekniske og organisatoriske tiltak, hjelpe Behandlingsansvarlig med å håndtere henvendelser fra de registrerte, inkludert, men ikke begrenset til, forespørsler om tilgang, retting, blokkering eller sletting av Personopplysninger. I den grad Behandlingsansvarlig kan håndtere forespørsler fra en registrert bruker via funksjoner i Plattformen, skal Behandlingsansvarlig benytte disse.

b. Databehandler skal, hensyntatt arten av behandlingen og Personopplysningene som behandles av Databehandler, bistå Behandlingsansvarlig med å oppfylle de forpliktelser Behandlingsansvarlig har i henhold til loven der dette er påkrevd eller nødvendig for at Behandlingsansvarlig skal oppfylle sine forpliktelser. Som en del av dette må Databehandleren bistå Behandlingsansvarlig med å sikre samsvar, bl.a. med forpliktelsene i henhold til personvernforordningens artikkel 32-36.

c. Databehandleren kan bare ta betalt for tjenester relatert til pkt. H. i henhold til prisene som er fastsatt på www.penneo.com.

I. REVISJON OG REVISJONSERKLÆRING

a. Databehandler skal på anmodning fra Behandlingsansvarlig gi denne den informasjon som er nødvendig for at Behandlingsansvarlig kan påse at Databehandler og dennes Underdatabehandlere oppfyller kravene som er angitt i Databehandleravtalen, herunder at de nødvendige tekniske og organisatoriske sikkerhetstiltak er ivaretatt.

b. Databehandler skal på skriftlig forespørsel fra Behandlingsansvarlig fremlegge dokumentasjon på at sikkerhetstiltakene er iverksatt hos Databehandleren.

c. Behandlingsansvarlig kan gjennom en revisor eller annen pålitelig part godkjent av Behandlingsansvarlig og Databehandler, utføre uanmeldte kontroller (innen normal arbeidstid) for å kontrollere om at Databehandleren oppfyller sine forpliktelser, inkludert kontroll av og mulig oppfølging av brukertilgang og rettigheter.

d. En gang i året gir Databehandleren Behandlingsansvarlig tilgang til ISAE 3000-revisors uttalelse (type 2). Uttalelsen må leveres etter slutten av hvert kalenderår, slik at uttalelsen er tilgjengelig for Behandlingsansvarlig innen 31. mars.

e. Behandlingsansvarlig har også rett til for egen regning å få utarbeidet en uavhengig tredjepartsrevisjon av Databehandlerens behandling av Personopplysninger. 

f. Databehandler er forpliktet til når som helst å gi offentlige myndigheter med lovlig autorisasjon tilgang til Databehandlers fysiske fasiliteter mot korrekt identifikasjon og forhåndssignert konfidensialitetserklæring. Tilsvarende gjelder for representanter som opptrer på myndighetenes vegne.

J. DEN BEHANDLINGSANSVARLIGES PLIKTER OG ANSVAR

a. Det er Behandlingsansvarlig sitt ansvar å sikre at det nødvendige grunnlag i lovgivningen for behandling av Personopplysningene foreligger, og den Behandlingsansvarlige skal påse at behandlingen av Personopplysningene oppfyller kravene i Lovgivningen.

b. Behandlingsansvarlig skal overholde de til enhver tid gjeldende sikkerhetsforskrifter som Databehandleren videreformidler til den Dataansvarlige når det gjelder adgangen til og bruken av Plattformen.

c. Behandlingsansvarlig skal erstatte Databehandlerens utgifter som følge av rettslige forhandlinger, krav, kostnader (inkludert rimelige advokatsalærer), tap, ansvar, utgifter eller skader som følge av den Behandlingsansvarliges manglende etterlevelse av Lovgivningen eller sikkerhetsforskrifter gitt av Databehandler angående tilgang til eller bruk av Plattformen, eller andre brudd på Databehandleravtalen. Det vises også til punkt N.c.

K. OMKOSTNINGER OG BETALING

For tjenester levert av Databehandleren til Behandlingsansvarlig i henhold til Databehandleravtalen, har Databehandleren bare rett til å kreve betaling i samsvar med prisene som er fastsatt på www.penneo.com

L. ENDRING AV DATABEHANDLERAVTALEN

a. Hver av partene kan når som helst, med skriftlig og begrunnet varsel, kreve Databehandleravtalen endret innen rimelig tid, dersom endringen er nødvendig for å overholde gjeldende lovgivning.

b. Databehandleravtalen kan videre justeres med 30 (tretti) kalenderdagers skriftlig  varsel dersom Behandlingsansvarlig ønsker å justere dataene i avsnitt Q om typer av Personopplysninger eller kategorier av registrerte.

c. Dersom det gjøres en vesentlig endring eller justering av Databehandleravtalen i henhold til avsnitt. L.a. eller L.b. til skade for Databehandleren, kan Databehandleren si opp Databehandleravtalen med skriftlig varsel innen 3 måneder før utløpet av en måned, uavhengig av Avtalens punkt. 3.3. Betalinger gjort av Kunden blir ikke refundert.

M. BEHANDLING AV DATA ETTER DATABEHANDLERAVTALENS OPPHØR

a. Ved opphør av Databehandleravtalen, uansett årsak, kommer Avtalens punkt 3.4. – 3.6. til anvendelse.

b. Dersom det etter Databehandleravtalens opphør er tvil om alle Personopplysninger er blitt slettet, kan Behandlingsansvarlig be om at Databehandleren (på Behandlingsansvarligs regning) skaffer en revisorerklæring om at Personopplysningene er slettet fra Databehandlerens IT-systemer.

N. MISLIGHOLD

a. Dersom Databehandleren mottar varsel fra Behandlingsansvarlig eller Databehandleren blir klar over manglende overholdelse av kravene i lovgivningen eller Behandlingsansvarlig sine instruksjoner om behandling av Personopplysninger, skal Databehandleren rette opp manglende overholdelse uten unødig opphold.

b. Bestemmelsene i Avtalens pkt. 17. får tilsvarende anvendelse ved en Parts misligholdelse av Databehandleravtalen.

c. En Part er erstatningsansvarlig overfor den andre Part for dennes utgifter og ressursbruk ved oppfyllelse av forpliktelser overfor en tilsynsmyndighet eller den registrerte, samt bøter pålagt av en tilsynsmyndighet eller domstol, i den utstrekning utgifter og ressursbruk er forårsaket av Partens mislighold.

O. TAUSHETSERKLÆRING

a. Databehandleren skal sørge for at de ansatte som får tilgang til informasjon fra Databehandleren har signert en konfidensialitetserklæring om at de har en taushetsplikt overfor uautoriserte personer angående deres tilgang til Databehandlerens data. Taushetsplikten gjelder både i arbeidsforholdet og etter at arbeidsforholdet har opphørt.

b. Databehandleren skal sørge for at Underdatabehandlere, ansatte og andre som bistår Databehandleren med oppfyllelsen av Avtalen og Databehandleravtalen er underlagt forpliktelser som tilsvarer konfidensialitetserklæringene i disse avtalene.

P. ANDRE BESTEMMELSER

Ved eventuelle uoverensstemmelser mellom Databehandleravtalen og de generelle vilkårene (Avtalen), har Databehandleravtalen forrang.

Q. KATEGORIER AV PERSONOPLYSNINGER OG DOKUMENTER

a. Avtalen kan omfatte alle typer Personopplysninger og alle kategorier registrerte parters Personopplysninger som Databehandleren skal behandle som ledd i oppfyllelsen av Avtalen.

b. For at Plattformen skal fungere i henhold til Avtalens pkt. 2, behandles følgende Personopplysninger hver gang en av den Behandlingsansvarliges ansatte eller en tredjepart signerer:

  • navn,
  • IP-adresse,
  • e-postadresse,
  • Elektronisk ID-informasjon, og
  • fødselsnummer, dersom valgt av Behandlingsansvarlig for hver enkelt overføring av dokumenter for signering av en tredjepart.

c. Kategoriene av registrerte parter hvis personopplysninger skal behandles av Databehandleren som en del av oppfyllelsen av Avtalen inkluderer tredjeparter, jfr. pkt. 13, så vel som Behandlingsansvarlig sine ansatte som signerer dokumenter gjennom bruk av Plattformen.

BILAG 2 TIL GENERELLE VILKÅR

Utvidelse av Plattformen, merforbruk og dokumentoppbevaring
1. EKSTRA BRUK

1.1 Kunden kan til enhver tid utvide Plattformen med flere signaturer enn det abonnementet omfatter. Dette kan gjøres enten uten forutgående avtale ("merforbruk") eller etter avtale om å utvide abonnementet, Plattform Fee.

a. Kjøp av Plattform Fee gir Kunden en utvidelse av Plattformen til å kunne anvende et bestemt antall ekstra signaturer i tillegg til det antall signaturer som er inkludert i Salgsavtalen. Fakturering av Plattform Fee skjer samtidig med kjøpet, uavhengig av når i en abonnementsperiode kjøpet er avtalt. Ved inngåelse av avtalen er prisen for en slik forlengelse EUR 1,78 per signatur.

b.  Merbruk av Plattformen uten forhåndsavtale vil bli fakturert på slutten av abonnementsperioden til den til enhver tid gjeldende pris. Ved inngåelse av avtalen er prisen for denne typen utvidelse 2,50 EUR per. brukt signatur som merforbruk.

1.2 Prisene ovenfor for utvidelse av Plattformen - både Platform Fee og merbruk - dekker den totale bruken av systemet og tilleggstjenester i henhold til Kundens abonnementstype.

2. TILLEGGSBRUKERE

Kunden kan når som opprette flere brukere enn det antall brukere som fremgår av Salgsavtalen. 
Ytterligere brukerfakturering faktureres på det tidspunktet ytterligere brukere opprettes av Kunden.

3. DATALAGRING

3.1 Oppbevaring av Kundens dokumenter er inkludert i abonnementsprisen for Plattformen for den følgende perioden fra ikrafttredelsesdatoen:

  • Start - Up: 1 år

  • Premium: 5 år

3.2 Etter utløpet av datalagringsperioden har Penneo rett til å ta betalt for lagring av Kundens dokumenter i Plattformen. Ved avslutningen av avtalen er prisen for datalagring 1,00 EUR per måned pr. 100 avsluttede saker.