Nordic Hosting AS

Databehandleravtale

Org.nummer: 989 383 930

Sist oppdatert: 15. oktober 2025

Mellom

Den behandlingsansvarlige (kunden)

Nordic Hosting AS's kunde

og

Databehandleren:

Nordic Hosting AS
Org.nummer: 989 383 930
Stasjonsvegen 21
3800 Bø i Telemark
Norge

2. Bakgrunn for databehandleravtalen

  1. Denne avtalen fastsetter de rettigheter og forpliktelser, som kommer til anvendelse når databehandleren foretar behandling av personopplysninger på vegne av den behandlingsansvarlige.
  2. Avtalen er utformet med henblikk på partenes etterlevelse av artikkel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av sådanne opplysninger og om opphevelse av direktiv 95/46/EF (Personvernforordningen), som stiller spesifikke krav til innholdet av en databehandleravtale.
  3. Databehandlerens behandling av personopplysninger skjer med henblikk på oppfyllelse av avtalt bruk av databehandlerens tjenester.
  4. Til denne avtale hører fire bilag. Bilagene fungerer som en integrert del av databehandleravtalen.
  5. Databehandleravtalens Bilag A inneholder nærmere opplysninger om behandlingen, herunder om behandlingens formål og karakter, typen av personopplysninger, kategoriene av registrerte og varighet av behandlingen.
  6. Databehandleravtalens Bilag B inneholder den behandlingsansvarliges betingelser for at databehandleren kan gjøre bruk av eventuelle underleverandører, samt en liste over de eventuelle underleverandører, som den behandlingsansvarlige har godkjent.
  7. Databehandleravtalens Bilag C inneholder nærmere instrukser om hvilken behandling databehandleren skal foreta på vegne av den behandlingsansvarlige (behandlingens gjenstand), hvilke sikkerhetstiltak som minimum skal gjennomføres, samt hvordan det føres tilsyn med databehandleren og eventuelle underleverandører.
  8. Databehandleravtalens Bilag D inneholder partenes eventuelle regulering av forhold, som ikke ellers fremgår av databehandleravtalen.
  9. Databehandleravtalen med tilhørende bilag oppbevares skriftlig, herunder elektronisk av begge parter.
  10. Denne databehandleravtale frigjør ikke databehandleren for forpliktelser som etter personvernforordningen eller enhver annen lovgivning direkte er pålagt databehandleren.

3. Den behandlingsansvarliges forpliktelser og rettigheter

  1. Den behandlingsansvarlige har overfor omverdenen (herunder den registrerte) som utgangspunkt ansvaret for at behandlingen av personopplysninger skjer innenfor rammene av personvernlovgivningen.
  2. Den behandlingsansvarlige har derfor både rettighetene og forpliktelsene til å treffe beslutninger om til hvilke formål og med hvilke hjelpemidler behandling skal utføres.
  3. Den behandlingsansvarlige er blant annet ansvarlig for at det foreligger hjemmel til den behandling som databehandleren instrueres i å utføre.

4. Databehandleren handler etter instruks

  1. Databehandleren må kun behandle personopplysninger etter dokumentert instruks fra den behandlingsansvarlige, med mindre det kreves i henhold til EU-lovgivning eller medlemsstatenes nasjonale lovgivning, som databehandleren er underlagt; i så fall underretter databehandleren den behandlingsansvarlige om dette rettslige krav innen behandling, med mindre den gjeldende lovgivning forbyr en slik underretning av hensyn til viktige samfunnsmessige interesser, jf. art 28, stk. 3, bokstav a.
  2. Databehandleren underretter omgående den behandlingsansvarlige hvis en instruks etter databehandlerens mening er i strid med personvernforordningen eller databeskyttelsesbestemmelser i annen EU-lovgivning eller medlemsstatenes nasjonale lovgivning.

5. Fortrolighet

  1. Databehandleren sikrer at kun de personer som er autorisert til dette, har adgang til de personopplysninger som behandles på vegne av den behandlingsansvarlige. Tilgangen til opplysningene skal derfor straks stenges hvis autorisasjonen fratas eller utløper.
  2. Det må bare autoriseres personer som har behov for adgang til personopplysningene for å kunne oppfylle databehandlerens forpliktelser overfor den behandlingsansvarlige.
  3. Databehandleren sikrer at de personer som er autorisert til å behandle personopplysninger på vegne av den behandlingsansvarlige, har forpliktet seg til fortrolighet eller er underlagt en passende lovbestemt taushetsplikt.
  4. Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne påvise at de relevante medarbeidere er underlagt ovennevnte taushetsplikt.

6. Behandlingssikkerhet

  1. Databehandleren iverksetter alle tiltak, som kreves i henhold til personvernforordningens artikkel 32, der det bl.a. fremgår at det under hensyntagen til det aktuelle nivå, implementeringskostnadene og den pågjeldende behandlings karakter, omfang, sammenheng og formål samt risikoene av varierende sannsynlighet og alvor for fysiske personers rettigheter og frihetsrettigheter skal gjennomføres passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå, som passer til disse risikoene.
  2. Ovenstående forpliktelse innebærer at databehandleren skal foreta en risikovurdering, og heretter gjennomføre tiltak for å imøtegå de identifiserte risikoene. Avhengig av hva som er relevant, kan det være snakk om følgende tiltak:
    1. Pseudonymisering og kryptering av personopplysninger
    2. Evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet av behandlingssystemer og – tjenester
    3. Evne til rettidig å gjenopprette tilgjengeligheten av og adgangen til personopplysninger i tilfelle av en fysisk eller teknisk hendelse
    4. En prosedyre for regelmessig uttesting, vurdering og evaluering av effektiviteten av de tekniske og organisatoriske tiltak til sikring av behandlingssikkerhet
  3. Databehandleren skal i forbindelse med ovenstående – i alle tilfelle – som minimum iverksette det sikkerhetsnivå og de tiltak, som er spesifisert nærmere i denne avtales Bilag C.

7. Bruk av underleverandører

  1. Databehandleren skal oppfylle de betingelser som er omhandlet i personvernforordningens artikkel 28, stk. 2 og 4, for bruk av annen databehandler (underleverandør).
  2. Databehandleren må således ikke bruke annen databehandler (underleverandør) til oppfyllelse av databehandleravtalen uten forutgående spesifikk eller generell skriftlig godkjennelse fra den behandlingsansvarlige.
  3. I tilfelle av generell skriftlig godkjennelse skal databehandleren underrette den behandlingsansvarlige om eventuelle planlagte endringer vedrørende tilføyelse eller erstatning av andre databehandlere og slik gi den behandlingsansvarlige mulighet for å fremme innsigelse mod slike endringer.
  4. Den behandlingsansvarliges nærmere betingelser for databehandlerens bruk av eventuelle underleverandører fremgår av denne avtales Bilag B.
  5. Den behandlingsansvarliges eventuelle godkjennelse av spesifikke underleverandører er anført i denne avtales Bilag B.
  6. Når databehandleren har den behandlingsansvarliges godkjennelse til å gjøre bruk av en underleverandør, sørger databehandleren for at pålegge underleverandøren de samme databeskyttelsesforpliktelser som dem, som er fastsatt i denne databehandleravtale, gjennom en kontrakt eller andet rettslig dokument i henhold til EU-lovgivning eller medlemsstatenes nasjonale lovgivning, hvorved der navnlig stilles de fornødne garantier for, at underleverandøren vil gjennomføre de passende tekniske og organisatoriske tiltak på en slik måte at behandlingen oppfyller kravene i personvernforordningen. Databehandleren er således ansvarlig for – igjennom inngåelsen av en underleverandøravtale – å pålegge en eventuell underleverandør minst de forpliktelser, som databehandleren selv er underlagt etter personvernlovgivningen og denne databehandleravtale med tilhørende bilag.
  7. Underleverandøravtalen og eventuelle senere endringer hertil sendes – etter den behandlingsansvarliges anmodning om dette - i kopi til den behandlingsansvarlige, som gjennom dette har mulighet for å sikre seg at der er inngått en gyldig avtale mellom databehandleren og underleverandøren. Eventuelle kommersielle vilkår, eksempelvis priser, som ikke påvirker det personvernrettslige innhold av underleverandøravtalen, skal ikke sendes til den behandlingsansvarlige.
  8. Databehandleren skal i sin avtale med underleverandøren innføre den behandlingsansvarlige som begunstiget tredjemann i tilfelle av databehandlerens konkurs, slik at den behandlingsansvarlige kan overta databehandlerens rettigheter og gjøre dem gjeldende overfor underleverandøren, f.eks. slik at den behandlingsansvarlige kan instruere underleverandøren om å foreta sletting eller tilbakelevering av opplysninger.
  9. Hvis underleverandøren ikke oppfyller sine databeskyttelsesforpliktelser forblir databehandleren fullt ansvarlig overfor den behandlingsansvarlige for oppfyllelsen av underleverandørens forpliktelser.

8. Overførsel av opplysninger til tredjeland eller internasjonale organisasjoner

  1. Databehandleren må kun behandle personopplysninger etter dokumentert instruks fra den behandlingsansvarlige, herunder for så vidt angår overførsel (overlatelse, videregivelse samt intern anvendelse) av personopplysninger til tredjeland eller internasjonale organisasjoner, med mindre det kreves i henhold til EU-lovgivning eller medlemsstatenes nasjonale lovgivning, som databehandleren er underlagt; i så fall underretter databehandleren den behandlingsansvarlige om dette rettslige krav innen behandling, med mindre den pågjeldende lovgivning forbyr en slik underretning av hensyn til viktige samfunnsmessige interesser, jf. art 28, stk. 3, bokstav a.
  2. Uten den behandlingsansvarliges instruks eller godkjennelse kan databehandleren – innenfor rammene av databehandleravtalen - derfor bl.a. ikke;
    1. videreformidle personopplysningene til en behandlingsansvarlig i et tredjeland eller i en internasjonal organisasjon,
    2. overlate behandlingen av personopplysninger til en underleverandør i et tredjeland,
    3. la opplysningene behandles i en annen av databehandlerens avdelinger, som er plassert i et tredjeland.
  3. Den behandlingsansvarliges eventuelle instruks eller godkjennelse av at det foretas overførsel av personopplysninger til et tredjeland, vil fremgå av denne avtales Bilag C.

9. Bistand til den behandlingsansvarlige

  1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt mulig den behandlingsansvarlige ved hjelp av passende tekniske og organisatoriske tiltak, med oppfyllelse av den behandlingsansvarliges forpliktelse til å besvare anmodninger om utøvelsen av de registrertes rettigheter som fastlagt i personvernforordningens kapitel 3. Dette innebærer at databehandleren så vidt mulig skal bistå den behandlingsansvarlige i forbindelse med, at den behandlingsansvarlige skal sikre overholdelsen av:
    1. opplysningsplikten ved innsamling av personopplysninger fra den registrerte
    2. opplysningsplikten, hvis personopplysninger ikke er innsamlet fra den registrerte
    3. den registrertes rett til innsikt
    4. retten til korrigering
    5. retten til sletting («retten til å bli glemt»)
    6. retten til begrensning av behandling
    7. underretningsplikt i forbindelse med korrigering eller sletting av personopplysninger eller begrensning av behandling
    8. retten til dataportabilitet
    9. retten til innsigelse
    10. retten til å fremme innsigelse mot resultatet av automatiske individuelle avgjørelser, herunder profilering
  2. Databehandleren bistår den behandlingsansvarlige med å sikre overholdelse av den behandlingsansvarliges forpliktelser i henhold til personvernforordningens artikkel 32-36 under hensyntagen til behandlingens karakter og de opplysninger som er tilgjengelige for databehandleren, jf. art 28, stk. 3, bokstav f. Dette innebærer at databehandleren under hensyntagen til behandlingens karakter skal bistå den behandlingsansvarlige i forbindelse med at den behandlingsansvarlige skal sikre overholdelsen av:
    1. forpliktelsen til å gjennomføre passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som passer til de risikoene som er forbundet med behandlingen
    2. forpliktelsen til å anmelde brudd på persondatasikkerheten til tilsynsmyndigheten (Datatilsynet) uten unødig forsinkelse og om mulig senest 72 timer, etter at den behandlingsansvarlige er blitt kjent med bruddet, med mindre det er usannsynlig, at bruddet på persondatasikkerheten innebærer en risiko for fysiske personers rettigheter eller frihetsrettigheter.
    3. forpliktelsen til – uten unødig forsinkelse – å underrette den/de registrerte om brud på persondatasikkerheten, når et slikt brudd sannsynligvis vil innebære en høy risiko for fysiske personers rettigheter og frihetsrettigheter
    4. forpliktelsen til å gjennomføre en konsekvensanalyse vedrørende databeskyttelse hvis en type behandling sannsynligvis vil innebære en høy risiko for fysiske personers rettigheter og frihetsrettigheter
    5. forpliktelsen til å konsultere tilsynsmyndigheten (Datatilsynet) innen behandling, dersom en konsekvensanalyse vedrørende databeskyttelse viser at behandlingen vil føre til høy risiko i mangel av tiltak truffet av den behandlingsansvarlige for å begrense risikoen

10. Underretning om brudd på persondatasikkerheten

  1. Databehandleren underretter uten unødig forsinkelse den behandlingsansvarlige etter å ha blitt oppmerksom på, at der er skjedd brudd på persondatasikkerheten hos databehandleren eller en eventuell underleverandør. Databehandlerens underretning til den behandlingsansvarlige skal om mulig skje senest 24 timer etter at denne er blitt kjent med bruddet, slik at den behandlingsansvarlige har mulighet for å etterleve sin eventuelle forpliktelse til å anmelde bruddet til tilsynsmyndigheten innen 72 timer.
  2. I overensstemmelse med denne avtales avsnitt 10.2., bokstav b, skal databehandleren - under hensyntagen til behandlingens karakter og de opplysninger som er tilgengelige for denne – bistå den behandlingsansvarlige med å foreta anmeldelse av bruddet til tilsynsmyndigheten. Det kan bety at databehandleren bl.a. skal hjelpe med å skaffe til veie nedenstående opplysninger, som etter personvernforordningens artikkel 33, stk. 3, skal fremgå av den behandlingsansvarliges anmeldelse til tilsynsmyndigheten:
    1. Karakteren av bruddet på persondatasikkerheten, herunder, hvis det er mulig, kategoriene og det omtrentlige antall berørte registrerte samt kategoriene og det omtrentlige antall berørte registreringer av personopplysninger
    2. Sannsynlige konsekvenser av bruddet på persondatasikkerheten
    3. Tiltak, som er truffet eller foreslås truffet for å håndtere bruddet på persondatasikkerheten, herunder hvis det er relevant, tiltak for at begrense dets mulige skadevirkninger

11. Sletting og tilbakelevering av opplysninger

  1. Ved opphør av tjenestene vedrørende behandling forpliktes databehandleren til, etter den behandlingsansvarliges valg, å slette eller tilbakelevere alle personopplysninger til den behandlingsansvarlige, samt å slette eksisterende kopier, med mindre EU-lovgivningen eller nasjonal lovgivning foreskriver oppbevaring av personopplysningene.

12. Tilsyn og revisjon

  1. Databehandleren stiller alle opplysninger som er nødvendige for å påvise databehandlerens overholdelse av personvernforordningens artikkel 28 og denne avtale, til rådighet for den behandlingsansvarlige og gi mulighet for og bidrar til revisjoner, herunder inspeksjoner, som foretas av den behandlingsansvarlige eller en annen revisor, som er bemyndiget av den behandlingsansvarlige.
  2. Den nærmere prosedyre for den behandlingsansvarliges tilsyn med databehandleren fremgår av denne avtales Bilag C.
  3. Den behandlingsansvarliges tilsyn med eventuelle underleverandører skjer som utgangspunkt gjennom databehandleren. Den nærmere prosedyre for dette fremgår av denne avtales Bilag C.
  4. Databehandleren er forpliktet til å gi myndigheter som etter den til enhver tid gjeldende lovgivning har adgang til den behandlingsansvarliges og databehandlerens fasiliteter, eller representanter som opptrer på myndighetens vegne, adgang til databehandlerens fysiske fasiliteter mod behørig legitimasjon.

13. Partenes avtaler om andre forhold

  1. En eventuell (særlig) regulering av konsekvensene av partenes misligholdelse av databehandleravtalen vil fremgår av denne avtales Bilag D.
  2. En eventuell regulering av andre forhold mellom partene vil fremgå denne avtales Bilag D.

14. Mislighold

  1. Ved mislighold av vilkårene i denne avtalen som skyldes feil eller forsømmelser fra databehandlers side, kan behandlingsansvarlig si opp avtalen med øyeblikkelig virkning.
  2. Databehandler vil fortsatt være pliktig til å tilbakelevere og slette personopplysninger som forvaltes på vegne av behandlingsansvarlig i henhold til bestemmelsene i punkt 11. Tilbakelevering og sletting ovenfor.
  3. Databehandler er erstatningsansvarlig overfor de registrerte dersom feil eller forsømmelser hos databehandler påfører de registrerte økonomiske eller ikke-økonomiske tap som følge av at deres rettigheter eller personvern er krenket. Behandlingsansvarlig kan kreve erstatning for økonomiske tap som feil eller forsømmelser fra databehandlers side, inkludert mislighold av vilkårene i denne avtalen.

15. Lovvalg og verneting

  1. Avtalen er underlagt norsk rett og partene vedtar Nedre Telemark tingrett som verneting. Dette gjelder også etter opphør av avtalen.

16. Ikrafttredelse og opphør

  1. Denne avtale trer i kraft når kunden starter et aktivt kundeforhold.
  2. Avtalen kan av begge parter kreves reforhandlet hvis lovendringer eller uhensiktsmessigheter i avtalen gir anledning til dette.
  3. Avtalen er gjeldende, så lenge behandlingen består. Uansett databehandleravtalens oppsigelse, vil databehandleravtalen forbli i kraft frem til behandlingens opphør og opplysningenes sletting hos databehandleren og eventuelle underleverandører.

17. Kontaktpersoner

Databehandleren (Nordic Hosting AS)

Personvern: privacy@nordic.hosting

Generell e-post: support@nordic.hosting

Telefon: +47 40 00 33 28

Adresse: Stasjonsvegen 21, 3800 Bø i Telemark, Norge

Bilag A - Opplysninger om behandlingen

Formål med behandlingen

Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er:

Karakteren av behandlingen

Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige dreier seg primært om:

Typer av personopplysninger

Behandlingen omfatter følgende typer av personopplysninger om de registrerte:

Kategorier av registrerte

Behandlingen omfatter følgende kategorier av registrerte:

Varighet

Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan påbegynnes etter denne avtales ikrafttreden. Behandlingen har følgende varighet:

Bilag B - Betingelser for databehandlerens bruk av underleverandører

B.1 Betingelser for bruk av underleverandører

Databehandleren har den behandlingsansvarliges generelle godkjennelse til å benytte seg av underleverandører. Databehandleren skal dog underrette den behandlingsansvarlige om eventuelle planlagte endringer vedrørende tilføyelse eller erstatning av andre databehandlere og på denne måten gi den behandlingsansvarlige mulighet for å fremme innsigelse mod slike endringer.

En slik underretning skal være den behandlingsansvarlige i hende minimum 1 måned før anvendelsen eller endringen skal tre i kraft. Såfremt den behandlingsansvarlige har innsigelser mot endringene skal den behandlingsansvarlige melde fra om dette til databehandleren innen 1 måned etter å ha mottatt underretningen. Den behandlingsansvarlige kan bare fremme innsigelse såfremt den behandlingsansvarlige har rimelige, konkrete årsaker til dette.

B.2 Godkjente underleverandører

Den behandlingsansvarlige har ved databehandleravtalens ikrafttreden godkjent bruken av følgende underleverandører:

Navn Beskrivelse av behandling
Underleverandører i Norge
Uninett Norid AS Registrering av .no-domener
Underleverandører i utlandet (EU/EØS)
SIA Trusthost Drift av databehandlerens servere og tjenester
Internetstiftelsen i Sverige Registrering av .se-domener og .nu-domener
ISNIC (Internet á Íslandi hf) Registrering av .is-domener
EnVers Group SIA Registrering av SSL-sertifikater
Realtime Register BV Registrering av mange typer domener (eks: .com .net .org mm.)
Underleverandører i utlandet (utenfor EU/EØS)
Stripe, Inc. Betalingsbehandling og fakturering. Data overføres til USA med adekvate sikkerhetstiltak i henhold til GDPR.
Google LLC Google Analytics (anonym analyse av nettstedsbruk) og Google reCAPTCHA (beskyttelse mot spam og misbruk). Data behandles i henhold til Googles personvernregler.
Enom LLC Registrering av mange typer domener (eks: .com .net .org mm.)
ASNIC Registrering av .as-domener

Den behandlingsansvarlige har ved databehandleravtalens ikrafttreden spesifikt godkjent anvendelsen av ovennevnte underleverandører til nettopp den behandling, som er beskrevet. Databehandleren kan ikke – uten den behandlingsansvarliges spesifikke og skriftlige godkjennelse – anvende den enkelte underleverandør til en "annen" behandling enn avtalt eller la en annen underleverandør foreta den beskrevne behandling.

Bilag C - Instruks vedrørende behandling av personopplysninger

C.1 Behandlingens gjenstand/instruks

Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved, at databehandleren utfører følgende:

C.2 Behandlingssikkerhet

Sikkerhetsnivået skal avspeile:

Databehandleren er heretter berettiget og forpliktet til å treffe beslutninger om, hvilke tekniske og organisatoriske sikkerhetsforanstaltninger som skal anvendes for å sørge for det nødvendige (og avtalte) sikkerhetsnivå omkring opplysningene.

Databehandleren skal dog – i alle tilfelle og som minimum – gjennomføre følgende tiltak, som er avtalt med den behandlingsansvarlige (på bakgrunn av den risikovurdering den behandlingsansvarlige har foretatt):

C.3 Oppbevaringsperiode/sletterutiner

Personopplysningene oppbevares hos databehandleren, inntil den behandlingsansvarlige anmoder om å få opplysningene slettet eller tilbakelevert.

C.4 Lokalitet for behandling

Behandling av de i avtalen omfattede personopplysninger kan ikke uten den behandlingsansvarliges forutgående skriftlige godkjennelse skje på andre lokaliteter enn de følgende:

C.5 Instruks eller godkjennelse vedrørende overførsel av personopplysninger til land utenfor EU/EØS

Hvis den behandlingsansvarlige ikke i dette avsnitt eller ved en etterfølgende skriftlig meddelelse har angitt en instruks eller godkjennelse vedrørende overførsel av personopplysninger til et tredjeland, må databehandleren ikke innenfor rammene av databehandleravtalen foreta en slik overføring.

Personopplysninger som Leverandør forvalter i henhold til denne avtalen kan overføres til et land utenfor EU/EØS hvis det er nødvendig for å kunne levere tjenesten i henhold til bilag B punkt 2.

Personopplysninger som Leverandør forvalter i henhold til denne avtalen kan overføres til et land utenfor EU/EØS hvis det er nødvendig for å kunne levere tjenesten i henhold til Tjenesteavtale gitt at enten (a) en slik overføring er lovlig i henhold til rettsgrunnlaget eller (b) Kunde har innhentet nødvendig aksept fra berørte registre.

Hvis utlevering av personopplysninger kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett, som Leverandør er underlagt, skal Leverandør underrette Kunde om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige samfunnsinteresser forbyr en slik underretning.

C.6 Nærmere prosedyrer for den behandlingsansvarliges tilsyn

Den behandlingsansvarlige kan – hvis nødvendig – velge å gjennomføre et fysisk tilsyn vedrørende overholdelsen av denne databehandleravtale hos databehandleren. Tilsynet kan gjennomføres av den behandlingsansvarlige selv eller en representant som den behandlingsansvarlige har bemyndiget.

Den behandlingsansvarliges eventuelle utgifter i forbindelse med et fysisk tilsyn dekkes av den behandlingsansvarlige selv. Databehandleren er dog forpliktet til å avsette de ressurser (hovedsakelig tid) som er nødvendig for at den behandlingsansvarlige kan gjennomføre sitt tilsyn.

Bilag D - Partenes regulering av andre forhold

Det er ingen andre forhold i denne avtale.