Databehandleravtale (DPA)
Sist oppdatert: desember 2025
Denne Databehandleravtalen («DPA») utgjør en del av og er underlagt hovedtjenesteavtalen og/eller Tjenestevilkårene («Avtalen») mellom:
- Ampliro AB, reg. no. 559488-1517, Warfvinges väg 31, 112 51 Stockholm, Sweden, som handler på vegne av og som leverandør av Diplino-plattformen tilgjengelig på diplino.com («Diplino», «Tjenesten», Databehandleren), og
- Kunden identifisert i Avtalen (den Behandlingsansvarlige).
Denne DPA fastsetter vilkårene for hvordan Ampliro behandler Personopplysninger på vegne av den Behandlingsansvarlige i forbindelse med levering av Diplino-tjenester for administrasjon av sertifikater og akkreditiver.
Ved konflikt mellom denne DPA og Avtalen når det gjelder behandling av Personopplysninger, skal denne DPA gå foran i den utstrekning konflikten foreligger.
1. Definisjoner
For formålene med denne DPA skal følgende begreper ha betydningene angitt nedenfor. Begreper som ikke er definert i denne DPA, skal ha betydningen de er gitt i Avtalen eller etter Gjeldende personvernlovgivning.
-
«Gjeldende personvernlovgivning» betyr alle lover og forskrifter om personvern og databeskyttelse som gjelder for behandling av Personopplysninger etter denne DPA, herunder, der det er relevant, EUs personvernforordning (forordning (EU) 2016/679 – «GDPR»), UK GDPR og enhver nasjonal gjennomføringslovgivning.
-
«Behandlingsansvarlig» betyr enheten som bestemmer formålene med og midlene for behandlingen av Personopplysninger.
-
«Databehandler» betyr enheten som behandler Personopplysninger på vegne av den Behandlingsansvarlige.
-
«Personopplysninger» betyr enhver opplysning om en identifisert eller identifiserbar fysisk person («Den registrerte»).
-
«Behandling», «Den registrerte», «Brudd på personopplysningssikkerheten», «Tilsynsmyndighet», «Underdatabehandler», «Tredjeland» og andre begreper med stor forbokstav skal ha betydningen de er gitt i GDPR.
-
«Tjenester» betyr Diplino-tjenestene for administrasjon av sertifikater og akkreditiver som leveres av Ampliro til den Behandlingsansvarlige i henhold til Avtalen.
2. Partenes roller
2.1 Behandlingsansvarlig og Databehandler
For Behandlingen av Personopplysninger beskrevet i denne DPA er den Behandlingsansvarlige «behandlingsansvarlig», og Ampliro er «databehandler», i henhold til Gjeldende personvernlovgivning.
2.2 Aktiviteter som selvstendig behandlingsansvarlig
Den Behandlingsansvarlige erkjenner at Ampliro kan behandle visse Personopplysninger som selvstendig behandlingsansvarlig for egne berettigede formål, slik som fakturering, etterlevelse av rettslige forpliktelser, opprettholdelse av sikkerhetslogger, svindelforebygging og tjenesteanalyser som beskrevet i Ampliro/Diplino sin Personvernerklæring. Slik behandling faller utenfor denne DPA sitt virkeområde og reguleres av de gjeldende personvernerklæringene.
3. Gjenstand, art, formål og varighet for Behandlingen
3.1 Gjenstand
Ampliro vil behandle Personopplysninger på vegne av den Behandlingsansvarlige i forbindelse med levering av Diplino-tjenestene, herunder opprettelse, administrasjon, lagring og verifikasjon av digitale sertifikater og akkreditiver.
3.2 Behandlingens art og formål
Behandlingsaktivitetene omfatter, i den grad det er nødvendig for å levere og støtte Tjenestene:
- Generering, utstedelse og administrasjon av digitale sertifikater og akkreditiver;
- Lagring og administrasjon av deltaker- og mottakerinformasjon;
- Levering av funksjonalitet for sertifikatverifikasjon og -validering;
- Administrasjon av brukerkontoer og roller (f.eks. administratorer, instruktører, utstedere);
- Sending av e-postvarsler knyttet til sertifikater og Tjenesten (f.eks. utstedelse, oppdateringer eller påminnelser);
- Levering av support, vedlikehold, feilsøking og sikkerhetsovervåking;
- Hosting, backup, logging og tekniske operasjoner som kreves for å levere Tjenesten.
3.3 Behandlingens varighet
Behandlingen skal begynne på Avtalens Ikrafttredelsesdato og fortsette så lenge Ampliro leverer Tjenestene til den Behandlingsansvarlige og i enhver lagringsperiode som kreves eller tillates etter Avtalen eller Gjeldende personvernlovgivning. Ved opphør eller utløp av Avtalen skal Behandlingen opphøre, og Personopplysninger skal slettes eller returneres i samsvar med avsnitt 12 i denne DPA.
4. Kategorier av Registrerte og typer Personopplysninger
4.1 Kategorier av Registrerte
Personopplysningene som behandles av Ampliro på vegne av den Behandlingsansvarlige, kan gjelde følgende kategorier av Registrerte:
- Sertifikatmottakere (f.eks. kursdeltakere, lærende, ansatte, kontraktører) hvis sertifikater utstedes av den Behandlingsansvarlige via Diplino;
- Brukere av den Behandlingsansvarliges Diplino-organisasjon (f.eks. administratorer, instruktører, utstedere);
- Andre personer hvis informasjon kan vises på sertifikater eller i metadata, slik dette bestemmes av den Behandlingsansvarlige.
4.2 Typer Personopplysninger
Personopplysningene som behandles, kan omfatte, men er ikke begrenset til:
- Identifikasjons- og kontaktopplysninger:
- Navn, e-postadresse (valgfritt avhengig av den Behandlingsansvarliges konfigurasjon);
- Profesjonell informasjon:
- Selskaps-/organisasjonsnavn, avdeling, stillingsbetegnelse eller rolle;
- Sertifikat- og akkreditivdata:
- Sertifikatdetaljer (f.eks. kursnavn, fullføringsstatus, utstedelsesdato, utløpsdato, unike sertifikatidentifikatorer);
- Verifikasjons- og valideringsdata (f.eks. kryptografiske signaturer, hasher, verifikasjonslogger);
- Konto- og bruksdata:
- Brukerrolle i den Behandlingsansvarliges Diplino-organisasjon (f.eks. admin, instruktør);
- Bruker-ID-er, innloggingstidspunkter og aktivitetslogger i Tjenesten;
- Tekniske og sikkerhetsdata:
- IP-adresse, nettlesertype, omtrentlig plassering (basert på IP), sikkerhetslogger og audit-logger knyttet til tilgang og endringer.
Den Behandlingsansvarlige forplikter seg til ikke bevisst å sende inn særlige kategorier av Personopplysninger (artikkel 9 GDPR) eller Personopplysninger om straffedommer og lovovertredelser (artikkel 10 GDPR) til Tjenesten, med mindre dette uttrykkelig er avtalt skriftlig med Ampliro og underlagt ytterligere garantier.
5. Databehandlerens forpliktelser
Ampliro, som opptrer som Databehandler, skal:
5.1 Instrukser
Behandle Personopplysninger kun etter dokumenterte instrukser fra den Behandlingsansvarlige, herunder med hensyn til overføringer av Personopplysninger til et Tredjeland, med mindre dette kreves av EU-retten eller medlemsstatenes nasjonale rett eller annen Gjeldende personvernlovgivning. I så fall skal Ampliro informere den Behandlingsansvarlige om dette rettslige kravet før Behandlingen, med mindre loven forbyr slik informasjon.
5.2 Konfidensialitet
Sikre at personer som er autorisert til å behandle Personopplysninger, har forpliktet seg til egnede konfidensialitetsforpliktelser eller er underlagt en egnet lovbestemt taushetsplikt.
5.3 Behandlingssikkerhet
Implementere og opprettholde egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som passer til risikoen, som nærmere beskrevet i avsnitt 8 og Vedlegg 1 – Tekniske og organisatoriske tiltak.
5.4 Bistand med de Registrertes rettigheter
Under hensyntagen til Behandlingens art, bistå den Behandlingsansvarlige med egnede tekniske og organisatoriske tiltak, i den grad det er mulig, for å oppfylle den Behandlingsansvarliges plikt til å svare på anmodninger om utøvelse av de Registrertes rettigheter etter Gjeldende personvernlovgivning (se avsnitt 10).
5.5 Bistand med etterlevelse
Bistå den Behandlingsansvarlige med å sikre overholdelse av forpliktelsene etter artiklene 32 til 36 GDPR (eller tilsvarende bestemmelser etter annen Gjeldende personvernlovgivning), under hensyntagen til Behandlingens art og informasjonen som er tilgjengelig for Ampliro, herunder i forbindelse med sikkerhet, vurderinger av personvernkonsekvenser og konsultasjoner med tilsynsmyndigheter.
5.6 Registre og informasjon
Gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som med rimelighet er nødvendig for å påvise etterlevelse av denne DPA og Gjeldende personvernlovgivning, samt muliggjøre og bidra til revisjoner og inspeksjoner som beskrevet i avsnitt 11.
5.7 Sletting og returnering av data
Ved opphør eller utløp av Tjenestene, slette eller returnere alle Personopplysninger som behandles på vegne av den Behandlingsansvarlige i samsvar med avsnitt 12, med mindre lagring kreves etter Gjeldende personvernlovgivning.
6. Den Behandlingsansvarliges forpliktelser
Den Behandlingsansvarlige skal:
- Sikre at den har et gyldig rettslig grunnlag for Behandlingen av Personopplysninger og for engasjementet av Ampliro som Databehandler i samsvar med Gjeldende personvernlovgivning;
- Sikre at alle nødvendige personvernerklæringer er gitt til de Registrerte og, der det kreves, at samtykker er innhentet;
- Ikke instruere Ampliro om å behandle Personopplysninger på en måte som ville være i strid med Gjeldende personvernlovgivning;
- Være ansvarlig for nøyaktigheten, kvaliteten og lovligheten av Personopplysninger som gis til Ampliro, og for hvordan den Behandlingsansvarlige velger å bruke Tjenestene.
7. Underdatabehandlere
7.1 Autoriserte underdatabehandlere
Den Behandlingsansvarlige gir Ampliro en generell autorisasjon til å engasjere Underdatabehandlere for Behandling av Personopplysninger på vegne av den Behandlingsansvarlige, forutsatt at Ampliro:
- Sikrer at hver Underdatabehandler er bundet av skriftlige personvernforpliktelser som ikke er mindre beskyttende enn de som er angitt i denne DPA; og
- Forblir fullt ansvarlig overfor den Behandlingsansvarlige for Underdatabehandlerens oppfyllelse av sine forpliktelser.
7.2 Nåværende Underdatabehandlere
Den nåværende listen over Underdatabehandlere som brukes i forbindelse med Tjenestene, er tilgjengelig på:
Denne listen kan oppdateres fra tid til annen.
7.3 Endringer i Underdatabehandlere
Ampliro vil varsle om eventuelle planlagte endringer i Underdatabehandlere (for eksempel ved å oppdatere Listen over underdatabehandlere og/eller via Tjenesten eller e-post). Den Behandlingsansvarlige kan protestere mot slike endringer på rimelige personverngrunnlag. Hvis den Behandlingsansvarlige med rimelighet protesterer og partene ikke kan komme frem til en gjensidig akseptabel løsning, kan den Behandlingsansvarlige avslutte de berørte Tjenestene i samsvar med Avtalen.
8. Internasjonale dataoverføringer
8.1 Overføringer
I den grad Ampliro eller dets Underdatabehandlere overfører Personopplysninger fra EØS, Storbritannia eller Sveits til et Tredjeland, skal slik overføring skje i samsvar med Gjeldende personvernlovgivning, herunder, der det er relevant:
- Bruk av EU-kommisjonens standard personvernbestemmelser (SCCs) for overføring av Personopplysninger til Tredjeland; og/eller
- Enhver tilsvarende eller erstattende overføringsmekanisme som er anerkjent etter Gjeldende personvernlovgivning (f.eks. UK International Data Transfer Addendum).
8.2 Ytterligere garantier
Ampliro skal, på skriftlig anmodning, gi den Behandlingsansvarlige informasjon om overføringsmekanismene som er på plass for relevante overføringsscenarioer, og der det er nødvendig, inngå egnede supplerende avtaler og garantier.
9. Sikkerhetstiltak
Ampliro skal implementere og opprettholde egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som passer til risikoen, under hensyntagen til Behandlingens art, omfang, sammenheng og formål, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for de Registrertes rettigheter og friheter. Disse tiltakene omfatter, men er ikke begrenset til, tiltakene beskrevet i Vedlegg 1 – Tekniske og organisatoriske tiltak, og kan omfatte:
- Kryptering av data i ro og under overføring (f.eks. TLS 1.3 for data under overføring);
- Bruk av robuste kryptografiske signaturer (f.eks. Ed25519) for sertifikatintegritet og verifikasjon;
- Tilgangskontroller, autentisering og prinsipper om minste privilegium for personale og systemkomponenter;
- Regelmessig sikkerhetsovervåking, logging og revisjon av tilgang til Personopplysninger;
- Sikker praksis for programvareutvikling og utrulling.
Ampliro kan oppdatere sine tekniske og organisatoriske tiltak fra tid til annen, forutsatt at slike oppdateringer ikke vesentlig reduserer det samlede beskyttelsesnivået.
10. Varsling om brudd på personopplysningssikkerheten
Ved et Brudd på personopplysningssikkerheten som berører Personopplysninger behandlet på vegne av den Behandlingsansvarlige, skal Ampliro:
- Varsle den Behandlingsansvarlige uten ugrunnet opphold etter å ha blitt kjent med Bruddet på personopplysningssikkerheten og, der det er mulig, senest innen 72 timer; og
- Gi informasjon som med rimelighet er tilgjengelig for Ampliro om:
- Arten av Bruddet på personopplysningssikkerheten;
- Kategoriene og det omtrentlige antallet Registrerte og registreringer av Personopplysninger som er berørt;
- De sannsynlige konsekvensene av Bruddet på personopplysningssikkerheten;
- Tiltakene som er truffet eller foreslått truffet for å håndtere Bruddet på personopplysningssikkerheten og redusere mulige negative virkninger.
Ampliro skal samarbeide med den Behandlingsansvarlige og treffe rimelige tiltak for å bistå den Behandlingsansvarlige med å oppfylle eventuelle forpliktelser til å varsle tilsynsmyndigheter eller de Registrerte etter Gjeldende personvernlovgivning.
11. De Registrertes rettigheter
Under hensyntagen til Behandlingens art skal Ampliro bistå den Behandlingsansvarlige med egnede tekniske og organisatoriske tiltak, i den grad det er mulig, med å oppfylle den Behandlingsansvarliges plikt til å svare på anmodninger om utøvelse av de Registrertes rettigheter, herunder:
- Rett til innsyn (artikkel 15 GDPR);
- Rett til retting (artikkel 16 GDPR);
- Rett til sletting (artikkel 17 GDPR);
- Rett til begrensning av behandling (artikkel 18 GDPR);
- Rett til dataportabilitet (artikkel 20 GDPR);
- Rett til å protestere (artikkel 21 GDPR).
Hvis en Registrert kontakter Ampliro direkte med en anmodning knyttet til Personopplysninger som behandles etter denne DPA, vil Ampliro, i den grad loven tillater det, informere den Registrerte om at anmodningen skal rettes til den relevante Behandlingsansvarlige og umiddelbart videresende slik anmodning til den Behandlingsansvarlige.
12. Revisjons- og inspeksjonsrettigheter
12.1 Dokumentasjon og informasjon
Ampliro skal gjøre tilgjengelig for den Behandlingsansvarlige informasjon som med rimelighet er nødvendig for å påvise overholdelse av sine forpliktelser etter denne DPA og Gjeldende personvernlovgivning, som kan omfatte:
- Dokumentasjon som beskriver relevante tekniske og organisatoriske tiltak;
- Standard sikkerhetsdokumentasjon og/eller tredjepartsattestasjoner (hvis tilgjengelig).
12.2 Revisjoner
Der slik dokumentasjon ikke er tilstrekkelig til å påvise etterlevelse, kan den Behandlingsansvarlige, for egen kostnad og med rimelig varsel (minst 30 dager), gjennomføre eller mandatere en revisjon, inkludert inspeksjoner, av Ampliros lokaler, systemer og relevant dokumentasjon, begrenset til det som er nødvendig for å verifisere Ampliros etterlevelse av denne DPA. Enhver revisjon skal:
- Gjennomføres i normal arbeidstid;
- Ikke urimelig forstyrre Ampliros drift;
- Være underlagt egnede konfidensialitetsforpliktelser;
- Begrenses til én gang hver 12 måneder, med mindre Gjeldende personvernlovgivning krever hyppigere revisjoner etter et Brudd på personopplysningssikkerheten eller i henhold til spesifikke krav fra tilsynsmyndighet.
13. Sletting og returnering av Personopplysninger
13.1 Ved opphør
Ved opphør eller utløp av Avtalen, eller etter skriftlig anmodning fra den Behandlingsansvarlige, skal Ampliro:
- Slette eller anonymisere Personopplysninger som behandles på vegne av den Behandlingsansvarlige; eller
- Returnere Personopplysninger til den Behandlingsansvarlige i et alminnelig brukt elektronisk format, hvis dette er anmodet og teknisk mulig,
med mindre Ampliro er pålagt etter Gjeldende personvernlovgivning å lagre noen eller alle Personopplysningene i en lengre periode (for eksempel for juridiske, skattemessige eller regnskapsmessige formål).
13.2 Backuper og logger
Personopplysninger lagret i backuper eller arkiverte logger skal beskyttes sikkert og, der det er mulig, overskrives eller slettes i samsvar med Ampliros standard backup- og lagringssykluser.
13.3 Aggregerte og anonymiserte data
Ingenting i denne DPA skal hindre Ampliro i å lagre eller bruke anonymiserte eller aggregerte data som ikke kan brukes til å identifisere en person, i samsvar med Gjeldende personvernlovgivning.
14. Diverse
14.1 Ansvarsbegrensning
Eventuelle ansvarsbegrensninger avtalt mellom partene i Avtalen skal også gjelde for denne DPA, i den grad Gjeldende personvernlovgivning tillater det.
14.2 Delvis ugyldighet
Hvis en bestemmelse i denne DPA anses ugyldig eller ikke kan håndheves, skal de resterende bestemmelsene fortsatt ha full kraft og virkning.
14.3 Gjeldende lov og jurisdiksjon
Denne DPA skal være underlagt og fortolkes i samsvar med gjeldende lov og jurisdiksjon angitt i Avtalen, med mindre Gjeldende personvernlovgivning krever noe annet.
15. Kontakt
For henvendelser knyttet til databeskyttelse og personvern vedrørende denne DPA eller Ampliros behandling av Personopplysninger i forbindelse med Diplino, kan den Behandlingsansvarlige kontakte:
- E-post: privacy@diplino.com
- Postadresse:
Ampliro AB
Attn: Privacy / Diplino
Warfvinges väg 31
112 51 Stockholm
Sweden
Vedlegg 1 – Tekniske og organisatoriske tiltak
Uten at det berører Ampliros plikt til å implementere egnede tiltak etter artikkel 32 GDPR og annen Gjeldende personvernlovgivning, illustrerer følgende tiltak sentrale garantier implementert i forbindelse med Diplino-Tjenesten:
-
Kryptering og kryptografi
- Kryptering av data under overføring ved bruk av bransjestandard protokoller (f.eks. TLS 1.3 eller tilsvarende).
- Kryptering av data i ro i underliggende databaser og lagringssystemer.
- Bruk av robuste kryptografiske signaturer (f.eks. Ed25519) for signering og verifikasjon av sertifikater, som sikrer integritet og ekthet.
-
Tilgangskontroll og identitetsadministrasjon
- Rollebasert tilgangskontroll (RBAC) i Tjenesten for å begrense tilgang til Personopplysninger basert på brukerroller (f.eks. admin, instruktør).
- Sterke autentiseringsmekanismer for administrativ tilgang.
- Prinsippet om minste privilegium anvendt på internt personale og systemer som får tilgang til Personopplysninger.
-
Nettverks- og infrastruktursikkerhet
- Bruk av sikker skyinfrastruktur og nettverkssegmentering der det er hensiktsmessig.
- Brannmurer, sikkerhetsgrupper og lignende nettverkskontroller for å beskytte produksjonssystemer.
- Regelmessig anvendelse av sikkerhetsoppdateringer og patcher.
-
Logging, overvåking og revisjon
- Audit-logging av brukeraktiviteter og tilgang knyttet til sertifikater og Personopplysninger.
- Sentralisert logging og overvåking av infrastrukturhendelser for avviksdeteksjon og hendelseshåndtering.
- Lagring av audit-logger i tråd med sikkerhets- og etterlevelsesbehov.
-
Utvikling og endringsstyring
- Sikker programvareutviklingspraksis, inkludert kodegjennomgang, versjonskontroll og testing.
- Kontrollerte utrullingsprosesser med begrenset tilgang til produksjonsmiljøer.
- Separasjon av utviklings-, staging- og produksjonsmiljøer.
-
Organisatoriske tiltak og opplæring
- Konfidensialitetsforpliktelser for ansatte og kontraktører med tilgang til Personopplysninger.
- Opplæring og bevisstgjøring av personale om praksis for databeskyttelse og informasjonssikkerhet.
- Interne retningslinjer for databeskyttelse, lagring og hendelseshåndtering.
-
Driftskontinuitet og backup
- Regelmessige databackuper og testede gjenopprettingsprosedyrer for å sikre Tjenestens tilgjengelighet og integritet.
- Planer for driftskontinuitet og katastrofegjenoppretting for kritiske systemer.
-
Risikostyring og gjennomganger
- Periodiske vurderinger av sikkerhetsrisikoer og personvernrisikoer knyttet til Tjenesten.
- Gjennomgang og forbedring av sikkerhetskontroller i lys av nye risikoer, bransjepraksis og rettslige krav.
Ampliro kan oppdatere eller forbedre disse tiltakene over tid, forutsatt at slike endringer ikke medfører en vesentlig reduksjon av det samlede sikkerhetsnivået.