BAKGRUNN OG FORMÅL

DyreID AS ("DyreID") har som vedtektsfestet formål å drive organisering og utvikling av identitetsmerking av dyr og objekter, etablering av et felles diagnoseregister for alle dyr i Norge, samt drive opplysningsarbeid om avl, helse og annen virksomhet som naturlig vedrører veterinærmedisinske områder, herunder støtte til videre- og etterutdanning.

DyreID sitt diagnoseregister benyttes i dag av alle klinikker i Norge. DyreID har med utgangspunkt i dette registeret i samarbeid med klinikkeierorganisasjonen Svenska Djur, utviklet et nytt register for felles diagnostisering i Norge og Sverige, Pyramidion, som nærmere beskrevet på https://www.dyreid.no/pyramidion.html

Hovedformålet med Pyramidion er å utvikle datamodeller for analyse av individbasert sykdomsforekomst og derigjennom redusere dyresykdommer. Pyramidion gjøres derfor tilgjengelig kostnadsfritt til alle klinikker i Norge gjennom de journalprogrammer som klinikkene bruker. Disse vilkårene er en avtale ("Avtalen") mellom DyreID og den enkelte klinikk, og fastsetter DyreID og klinikkenes rettigheter og plikter vedrørende bruk av Pyramidon.

Disse vilkårene gjelder ikke de journalprogrammer som klinikkene har og leveranser og drift av disse.

Ved å bruke Pyramidion bekrefter du at du har fylt 18 år og at all informasjon som registreres, er sann og fylt ut etter beste evne. Videre bekreftes det at du har rett til å representere og opptre på klinikkens vegne i forbindelse med bruk av Pyramidion.

DEFINISJONER

Journalprogram : Tredjeparts program for håndtering av journaldata i klinikk.

Klinikk : godkjent veterinærklinikk i Norge.

Pyramidion : DyreIDs diagnoseregister og system for distribusjon og mottak av diagnostiske data og eventuelle relevante behandlinger. Også omtalt som registeret.

PLIKTER OG RETTIGHETER

DyreID og klinikkenes rettigheter og plikter i forbindelse med bruk av Pyramidion:

ENDRINGER OG ANSVARSBEGRENSNING

Klinikkene er innforstått med at Pyramidion er under utvikling og at DyreID forbeholder seg retten til å foreta endringer. DyreID vil tilstrebe at Pyramidion kan brukes i klinikken, men DyreID avgir ingen garantier på noen måter for at Pyramidion til enhver tid vil fungere og DyreID fraskriver seg herved ethvert økonomiske ansvar for skader, tap eller krav, som skyldes eller fremsettes i forbindelse med klinikkens bruk av Pyramidion.

AVTALENS VARIGHET OG OPPHØR

Denne Avtalen trer i kraft fra det tidspunkt klinikken begynner å bruke Pyramidion, eventuelt fra avtaleinngåelsen dersom dette tidspunkt inntreffer først. Avtalen gjelder så lenge klinikken bruker Pyramidion i sin kliniske virksomhet gjennom det til enhver tid benyttede journalprogram for dette.

Hver Part kan si opp Avtalen med 90 dagers skriftlig varsel til den andre Partene. Varsler til DyreID skal gis til DyreIDs e-post adresse eller postadresse nedenfor, mens varsel til klinikken skal gis til i henhold til de kontaktopplysninger som er gitt til DyreID i forbindelse med bruk av Pyramidion.

I tillegg kan hver av Partene si opp Avtalen med umiddelbar virkning dersom den annen Part misligholder Avtalen, og den misligholdende Part ikke har rettet opp avtalebruddet innen 30 dager etter å ha mottatt skriftlig varsel om misligholdet fra den annen Part.

LOV OG VERNETING

Avtalen reguleres av og tolkes i samsvar med norsk rett.

Partene har avtalt Oslo tingrett som rett verneting.

OPPHØR AV AVTALE

KONTAKTDETALJER TIL DYREID
DyreID AS
Freserveien 1
0195 Oslo

E-post: post@dyreid.no

1. Databehandleravtalens hensikt

Behandlingsansvarlig tilbyr et diagnoseregister ("Pyramidion") til veterinærklinikker i Norge. Dette registeret er nærmere beskrevet på https://www.dyreid.no/pyramidion.html. Hovedformålet med Pyramidion er å utvikle datamodeller for analyse av individbasert sykdomsforekomst og derigjennom redusere dyresykdommer.

I forbindelse med Databehandlers bruk av Pyramidion, slik beskrevet i avtalen "Vilkår for bruk", vil Databehandler behandle opplysninger knyttet til diagnoser av dyr, samt opplysninger om dyrets eier. Sistnevnte opplysninger regnes som personopplysninger etter lov om behandling av personopplysninger ("Personopplysningsloven) (LOV-2018-06-15-38) som implementerer EUs forordning 2016/679 ("GDPR") i norsk rett.

Databehandleravtalens hensikt er å sikre at ovennevnte behandling overholder personvernlovgivningen.

DyreID er Behandlingsansvarlig og klinikkene Databehandler for disse opplysningene etter denne avtalen.

Databehandleravtalen er å anse som et vedlegg til partenes avtale om vilkår for bruk.

2. Definisjoner

De følgende ord skal forstås i samsvar med norsk personvernlovgivning:

Personopplysninger: Opplysninger og vurderinger som kan knyttes til en enkeltperson, og som dermed er regulert av Personopplysningsloven.

Sensitive personopplysninger: Opplysninger om




Når det ikke særskilt presiseres og denne databehandleravtale henviser til personopplysninger, menes også sensitive personopplysninger.

Behandling: Enhver bruk av opplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring, utlevering eller en kombinasjon av slike bruksmåter.

Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.

Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige,
Registrert: Den person som personopplysninger og vurderinger kan knyttes til.

3. Behandlingens art, formål og varighet

Behandlingen av personopplysninger som Databehandler gjør på vegne av den behandlingsansvarlige, består i å innhente personopplysninger om eier til dyr, det vil si e-post adresse, adresse, telefonnummer og annet kontaktinformasjon, men behandlingen av personopplysningen opphører etter innhenting ettersom de umiddelbart anonymiseres før de inntas i Pyramidion.

Hovedformålet med innhentingen er at Behandlingsansvarlig skal kunne tilby Pyramidion til Databehandler og andre klinikker. Pyramidion bruker opplysningene for å utvikle datamodeller for dyresykdomsbekjempelse.

4. Databehandlerens plikter

Det er kun de personopplysninger som Databehandler får tilgang til som ledd i oppfyllelsen av kontraktsforpliktelser mellom Behandlingsansvarlig og Databehandler som omfattes av behandlingen.

Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid med rimelighet har bestemt skal gjelde, så fremt de er nødvendige for å etterleve gjeldende regelverk. Behandlingsansvarlig skal kun gi databehandler instrukser som ligger innenfor gjeldende regelverk. Databehandler plikter å informere behandlingsansvarlig om en instruks dersom databehandler mener at instruksen er i strid med gjeldende regelverk.

Databehandler plikter å gi Behandlingsansvarlig tilgang til sikkerhetsdokumentasjon fra egen og underleverandørers virksomhet, og bistå, i den grad det er nødvendig for tjenesten, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift, herunder at de krav til informasjonssikkerhet som oppstilles i Personopplysingsloven og artikkel 32 i GDPR.

Databehandler og dets underleverandører skal kun behandle personopplysninger innen Norge eller EU/EØS, med mindre Behandlingsansvarlig skriftlig bekrefter at man ønsker lagring andre steder, eller det er pålagt utlevering til andre land etter gjeldende norsk rett.

Databehandler plikter å gi nødvendig bistand til at den behandlingsansvarlige får tilgang til opplysningene som behandles etter eget ønske.

Databehandler har taushetsplikt om personopplysninger som vedkommende får tilgang til iht. denne avtalen. Dette gjelder også etter avtalens opphør. Databehandler skal sikre at de personer som er autorisert til å behandle personopplysninger på vegne av databehandler er underlagt taushetsplikt etter lov eller avtale.

Databehandler skal bistå Behandlingsansvarlig med å besvare anmodninger fra den registrerte om oppfyllelse av den registrertes rettigheter etter det norske personvernregelverket, så fremt dette er mulig tatt i betraktning behandlingens karakter og egnede tekniske og organisatoriske hjelpemidler.

Databehandler skal, tatt i betraktning hvilke personopplysninger som er tilgjengelige for databehandler og behandlingens karakter, bistå behandlingsansvarlig med å overholde kravene til informasjonssikkerhet, meldeplikt til personvernmyndigheter og den registrerte ved sikkerhetsbrudd, konsekvensanalyser mv. i henhold til artikkel 32-36 i GDPR.

5. Den Behandlingsansvarliges rettigheter og plikter

Behandlingsansvarlig er ansvarlig for at personopplysninger blir behandlet i samsvar med personvernforordningen og personopplysningsloven.

Behandlingsansvarlig har en rett og plikt til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen.

Behandlingsansvarlig plikter å gi Databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles.

6. Bruk av underleverandør

Databehandler skal kun benytte underleverandører som er skriftlig forhåndsgodkjent av behandlingsansvarlig.

Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle opplysningene inngår skal være underlagt tilsvarende forpliktelser som påhviler databehandler etter denne avtalen.

7. Sikkerhet og sikkerhetsbrudd

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter Personopplysningsloven og Personopplysningsforskriften, herunder særlig artikkel 32 i GDPR. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på den behandlingsansvarliges forespørsel.

Dersom databehandler blir oppmerksom på ulovlig tilgang til personopplysninger som er lagret hos databehandler eller databehandlers underleverandører, skal databehandler uten ugrunnet opphold 1) varsle behandlingsansvarlig om sikkerhetsbruddet, 2) undersøke sikkerhetsbruddet og gi behandlingsansvarlig detaljert informasjon om sikkerhetsbruddet, 3) iverksette ansvarlige og rimelige tiltak for å avhjelpe virkningene av sikkerhetsbruddet og begrense skaden fra slikt sikkerhetsbrudd. Varsel om sikkerhetsbrudd skal skje skriftlig, herunder elektronisk. Det er den behandlingsansvarliges ansvar å formidle den til enhver tid korrekte kontaktinformasjon for varsel om sikkerhetsbrudd. Varsel om sikkerhetsbrudd skal ikke anses som en erkjennelse av ansvar for sikkerhetsbruddet for databehandler eller dets underleverandører. Behandlingsansvarlig skal uten ugrunnet opphold varsle databehandler om misbruk av kontoer eller andre sikkerhetsbrudd fra den behandlingsansvarliges side.

Avviksmelding ved sikkerhetsbrudd i henhold til gjeldende personvernregelverk skal skje ved at databehandler melder avviket til Behandlingsansvarlig uten ugrunnet opphold og så vidt mulig innen de frister som følger av gjeldende regelverk, herunder artikkel 33 i GDPR.

8. Sikkerhetsrevisjoner

Databehandler skal gjennomføre sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av denne avtalen. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak.

Behandlingsansvarlig kan kreve å få gjennomført en gjennomgang og revisjon (audit) av databehandlers tjeneste, systemer og dokumentasjon for å sikre at den er lovmessig. Dersom databehandler har gjennomført en årlig revisjon av et anerkjent revisjonsbyrå, og rapporten fremlegges for den behandlingsansvarlig, kan den behandlingsansvarlig bare kreve revisjon av databehandler i den grad det foreligger rimelig grunn til det eller det følger av preseptorisk lovgivning at slik revisjon kan skje.

9. Endringer og avtalens varighet

Denne databehandleravtale kan endres ved behov og enighet mellom partene. Alle endringer skal være skriftlige tillegg til denne avtale, og må undertegnes av begge parter.

Databehandleravtalen gjelder så lenge databehandler behandler personopplysninger på vegne av den behandlingsansvarlig som databehandler eller som underleverandør.

Ved brudd på denne avtale eller personopplysningsloven kan Behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Behandlingsansvarlig kan også, i henhold til GDPR artikkel 28 nr. 1, si opp databehandleravtalen dersom databehandleren ikke lenger oppfyller Personopplysningslovens krav.

10. Meddelelser

Meddelelser etter denne avtalen skal sendes skriftlig til DyreID, se kontaktinfo i avtalen om Vilkår for bruk.

11. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av avtalen.