Denne databehandleravtalen (heretter “Avtalen”) regulerer Mynder AS’ behandling av personopplysninger på vegne av sine kunder gjennom Mynder-plattformen. Avtalen er en integrert del av vilkårene for bruk av plattformen og gjelder for all bruk der Mynder opptrer som databehandler.
Partene
Behandlingsansvarlig: Kunden (juridisk enhet som bruker Mynder-plattformen)
Mynder behandler personopplysninger utelukkende for å levere og forbedre plattformen, og aldri til egne formål. Typiske formål er:
Konto- og brukerstyring: Opprette, administrere og vedlikeholde brukerkontoer for ansatte og andre brukere.
Tilgangskontroll og sikkerhet: Gi riktig tilgang basert på roller, sikre innlogging og oppdage uautorisert bruk.
Compliance og risikostyring: Dokumentere systemer og leverandører, identifisere risiko og støtte automatisering av compliance-prosesser.
Forslag og utkast: Generere forslag til policyer, vurderinger og tiltak basert på informasjon som kunden selv legger inn i plattformen.
Support og drift: Gi teknisk brukerstøtte, overvåke ytelse og sikre stabil drift av tjenesten.
Mynder behandler aldri personopplysninger til egne formål.
Kategorier av registrerte og data
Registrerte: Ansatte hos Kunden som bruker plattformen, systemeiere, leverandørkontakter, behandlingsansvarlig og sikkerhetsansvarlig.
Opplysninger: Navn, e-post, firmanavn, roller, vurderinger, input, metadata og telefonnummer til utvalgte roller for sikkerhets- og beredskapsformål.
Varighet
Avtalen gjelder så lenge Kunden bruker Mynder-plattformen.
Mynders forpliktelser som databehandler
Mynder forplikter seg til å:
Behandle data kun i henhold til Kundens instruksjoner
Sikre konfidensialitet, integritet og tilgjengelighet
Bruke egnede tekniske og organisatoriske tiltak
Sørge for tilgangsstyring, logging, kryptering og sikker dataseparasjon
Sikre at ansatte og underleverandører er bundet av taushetsplikt
Bruk av underleverandører
For å levere en sikker og skalerbar plattform benytter Mynder anerkjente underleverandører. Disse behandler personopplysninger kun på våre vegne og i tråd med denne avtalen:
Microsoft Azure (EU/EØS): Vår primære skyplattform. Brukes til drift, datalagring, databaser og infrastruktur. Alle data lagres i EU/EØS (region Irland), med kryptering i ro og i transitt.
OpenAI via Azure (EU-region): Brukes til å analysere og generere tekstforslag basert på innhold kunden selv legger inn. Data behandles kun i aktiv bruk og lagres ikke til modelltrening.
Zitadel (Sveits, med EU-adevkansbeslutning): Benyttes til autentisering, pålogging og identitetshåndtering. Leverer rollebasert tilgangskontroll og multifaktorautentisering (MFA).
Google Cloud (EU-region): Brukes til å hente inn offentlig tilgjengelig informasjon fra nettet for analyser basert på kundens forespørsel.
Alle underleverandører er bundet av databehandleravtaler som sikrer samme nivå av personvern og sikkerhet som denne avtalen. En oppdatert liste er alltid tilgjengelig på våre nettsider.
Overføringer til tredjeland
Mynder tilstreber at all behandling skjer innen EU/EØS. Ved eventuell overføring til tredjeland benyttes gyldig overføringsgrunnlag, som EUs standard kontraktsvilkår (SCC) eller adekvansbeslutning.
Sikkerhetstiltak
Mynder gjennomfører både tekniske og organisatoriske tiltak for å beskytte konfidensialitet, integritet og tilgjengelighet. Tiltakene inkluderer blant annet:
Rollebasert tilgangsstyring (RBAC) og multifaktorautentisering (MFA)
Prinsippet om «minste privilegium» ved tildeling av tilganger
Kryptering av data i ro og i transitt (TLS/HTTPS og AES-256)
Logging og overvåking av tilganger og hendelser
Separasjon av kundedata mellom ulike miljøer
Regelmessige revisjoner av sikkerhetspraksis og tekniske kontroller
Rutiner for backup, gjenoppretting og hendelseshåndtering
Opplæring av ansatte i informasjonssikkerhet og taushetsplikt
Oppfølging av underleverandører gjennom egne databehandleravtaler og risikovurderinger
Rettigheter og bistand til Kunden
Mynder bistår Kunden med å oppfylle forpliktelser etter GDPR, herunder:
Innsyn, retting og sletting av data
Håndtering av registrertes rettigheter
Varsling og dokumentasjon ved sikkerhetsbrudd
Henvendelser fra Datatilsynet
Kontroll og revisjon
Kunden har rett til å kontrollere at Mynder oppfyller sine forpliktelser etter denne avtalen. Mynder vil gi nødvendig dokumentasjon og informasjon for å bekrefte etterlevelse. Revisjon kan gjennomføres etter avtale og med rimelig varsel, og på en måte som ikke urimelig forstyrrer Mynders virksomhet.
Retur og sletting av data
Databehandler lagrer personopplysninger så lenge det er nødvendig for å oppfylle avtalte formål, eller så lenge Kunden har en aktiv konto. Når formålet opphører, eller Kunden ber om det, slettes eller anonymiseres personopplysninger på en sikker måte slik at de ikke kan gjenopprettes eller brukes.
Operasjonelle data slettes eller anonymiseres senest 30 dager etter at kundeforholdet er avsluttet. Opplysninger som inngår i sikkerhetskopier eller arkivdata slettes eller overskrives senest 180 dager etter avslutning. Systemlogger og metadata anonymiseres innen 90 dager, med mindre lengre lagring er nødvendig for å ivareta sikkerhet, feilsøking eller lovpålagte krav.
Dersom Kunden ber om tidligere sletting, etterkommes anmodningen uten ugrunnet opphold og senest innen 30 dager.
Endringer i avtalen
Mynder kan oppdatere denne avtalen. Vesentlige endringer varsles i rimelig tid. Den til enhver tid gjeldende versjonen er tilgjengelig på www.mynder.no.
Kontakt
Spørsmål om behandling av data, sletting eller bruk av underleverandører kan rettes til Mynder AS på e-post Hei[@]mynder.no.
.png)
