Personvernsenter

KEYFORCE MASTER SUBSCRIPTION AGREEMENT "MSA"

This agreement is valid from November 1st 2023.

1 Scope of the Keyforce Master Subscription Agreement – “Agreement” 

The Agreement governs Customer access and use of Keyforce software. 

Keyforce retains all rights to all elements that the Software consists of. The Customer is not awarded any license or any usage right beyond what is expressly stated in this Agreement. As an integral part of this Agreement, the Customer shall have the right to receive support as defined in clause 4 of this Agreement. 

This Agreement is effective from the date of acceptance. Acceptance is deemed to take place when the Customer is entering into a paid subscription of the Service by signing the Initial Order Form and a Data Processing Agreement. 

2 Definitions 

“Agreement date” is the date you sign the Initial Order form. The Customer is from this date a customer and we will enable our Service without unnecessary delay. 

“Agreement period” is the current Agreement period you are in. This means the initial Agreement period described on the Initial order form. 

“Customer Data” shall in this Agreement mean all data that the Customer stores on Keyforce’s or any of Keyforce’s sub-contractor’s servers. 

“Initial Order form” is used to describe the documents (which include information about number of Users, Invoice interval, prices, Data Processing Agreement, etc.) signed when ordering the Service. 

“Invoice interval” is the payment period specified in the Initial Order form or when agreed changed, in writing, at later date. Invoice interval is every three months"

“Service / Services” means Keyforce – the software-based services that are ordered by Customer via the Initial Order Form as described. Services exclude content and Third-Party Services. 

“Third-Party Services” means products, services, functionality or content provided by Third-Party Service providers. These services are designed to be used in conjunction with the Keyforce Service. Third-Party Services are not governed by this Agreement but requires separate agreements between Customer and Third-Party Service providers.

“Subscription fee” is the total amount charged for using the Service according to the Invoice interval. 

“User” is the name of a license assigned to an individual user for a specific set of functions. 

“Company License” is the name of services with a specific set of functions available on a “per-customer” basis. 

3 Customer Responsibilities 

3.1 Limited right of access to and use of the Service 

The right of access to the Service is at any given time limited to the number of Users for which the Customer is subscribing and paying. 

If the Customer needs to expand the Agreement with additional Users, the subscription for additional Users shall be ordered from Keyforce according to the procedure in clause 10. 

Subscriptions under this Agreement is limited to the Customer’s employees or consultants who according to an agreement with the Customer are performing services for the Customer. The Customer shall require the users to commit themselves to be legally bound by the terms and conditions included in this Agreement. The Customer shall not allow other persons or entities directly or indirectly to gain access to or use the Service or the documentation, other than what is expressly set out in the Agreement. 

The Customer may only use the Service for the Customer’s internal purposes. The Customer is not entitled to perform data processing on behalf of a Third-Party using the Service. The Customer commits to use the Service according to the applicable law and regulations, permissions, limitations and requirements in the Agreement. 

The Customer is responsible for the data, materials and the information that the Customer or its Users process with the Service. The Customer shall not use the Service to send illicit spam or otherwise unlawful material using the Service. The Customer shall not store, process or send material containing software viruses and similar harmful computer codes, scripts, files, or programs. 

The Customer shall not attempt to gain unauthorized access to the Service or its related networks or systems. The Customer is at all times responsible to not interfere with or disrupt the security, integrity or performance of the Service or the data it contains. 

A high-speed Internet connection is required for proper transmission of the Services. Customer is responsible for the network connections that connect customer’s network to the Service, including “browser” software supported by Keyforce. Such infrastructure should support HTTP over Transport Layer Security (TLS). Keyforce assume no responsibility for the reliability or performance of any connections as described in this section. 

In case of breach of these conditions, Keyforce is entitled to immediately terminate the Agreement and shut down the Customer’s access to the Service with immediate effect. Such actions from Keyforce shall not release the Customer from the obligation to pay for the total current Agreement period. 

3.2 Third-Party Services 

Customer may integrate Third-Party Services (Applications) with the Service. Any acquisition or development by Customer of such Applications, and any exchange of data between Customer and 3rd party, is solely between Customer and the applicable Third-Party Service provider. Keyforce does not warrant or support Third-Party Services, whether they are “certified” by Keyforce, unless expressly provided otherwise in an Order Form. 

If Keyforce receives information that a Third-Party Service may violate the terms of use, applicable law or third-party rights, Keyforce will notify Customer who promptly will have to disable or modify such Third-Party Service to resolve the potential violation. If Customer does not take required action in accordance with the above, Keyforce may disable the applicable Content, Service and/or Third-Party Service until the potential violation is resolved. 

Customer Data 

If Customer chooses to use a Third-Party Service with the Service, Customer grants Keyforce permission to allow the Third-Party Service and its provider access to Customer Data as required for the interoperation of that Third-Party Service with the Service. Keyforce is not responsible for any disclosure, modification or deletion of Customer Data resulting from access by such Third-Party Service or its provider. Data Protection Agreements must be signed between Customer and such Third-Party Service providers. Customer is responsible for informing Users of any disclosure of their personal data to a Third-Party Service provider. 

4 Support 

The Customer is granted access to the Keyforce Customer Center where resources for education, help, frequently asked questions, training and inspiration are available. Support also includes e-mail support via [email protected]

Our support team works for Customer success Monday thru Friday during normal business hours (8 hours per day / 5 days per week, CET) except on public holidays. 

Support includes Keyforce’s best effort in solving software problems based on a detailed description of the problem, provided by the Customer. Finding a solution cannot be guaranteed. 

Support shall be made available in accordance with the following guidelines: 

The Customer will use its best effort and most qualified personnel to search the source of the problem and to share detailed information with the support personnel. ​

Cases, which do not comply with the above listed conditions, will be invoiced at the applicable Keyforce hourly consulting fees. Approval of such invoicing should be made in advance. 

The Support does not extend to other applications, configurations, integrations, operating systems and similar. The same applies to Customer’s hardware, internal networks, internet connections or items of peripheral equipment that are independent of the Service. 

Keyforce reserves the right to recommend a training course or consultancy services if the support takes the form of general training. Keyforce similarly reserves the right to send the Customer specifications of possible solutions, which the Customer must attempt to implement in order to solve the problem in question. 

This Support shall not include any form of administration, configuration, design, development or other consultancy services. The Customer may purchase consultancy services as required, in addition to the Support provided according to the Agreement. Such additional Services will be made available on a time and material basis based on Keyforce’s official prices. 

5 Breach of Agreement and limitation of liability 

There is a breach of Agreement if one of the parties does not fulfill its obligations as defined in the Agreement. It shall not be regarded as a breach of Agreement by Keyforce if the Service is unavailable as a result of errors, or has reduced functionality, or the Customer achieves poor response time, in the following cases: i) as a result of circumstances outside Keyforce control, or ii) as a result of circumstances related to the Service, if Keyforce has corrected or made reasonable efforts to correct the error. 

Keyforce does not give any warranty or promise that the functionality in the Software will cover the Customer’s individual requirements, expectations or needs. Keyforce does not warrant nor promise that interruptions or errors will not occur during the operation of the Service. ​

Keyforce shall under no circumstances be liable for indirect losses, including, but not limited to lost profits of any kind, losses as a result of delayed startup of operation or operational disruption, lost goodwill and/or third-party claims. 

Keyforce is only liable for errors in the Software if Keyforce does not try to correct errors that Keyforce has confirmed that will be tried corrected. No warranty is given that the error may be satisfactory rectified. Any liability is restricted to the Customers documented direct losses, and such liability shall for the whole lifetime of the Agreement be limited to the compensation for the Agreement period when the error occurred. No liability can be claimed as a result of faults or errors in the Software or the Service, unless expressly stated otherwise in this agreement. 

6 Legal defects 

If a Third-Party starts legal action claiming that the Service infringes other’s copyright, title or industrial rights, Keyforce shall at its own expense defend itself and the Customer’s interest. This should however only apply to the extent the Customer immediately notifies Keyforce as soon as it is informed of such claims, that Keyforce gets full control of the case and that the Customer co-operates with Keyforce in the negotiations and potential court proceedings. Keyforce shall in such case cover legal costs and compensation awarded against the Customer. No other claims than those stated in this clause can be put forward against Keyforce as a result of legal defects. 

7 Personal data processing 

Keyforce will process personal data on behalf of the Customer for the purpose of the Agreement. The parties shall enter a separate Data Processing Agreement (DPA) where Customer is the Controller and Keyforce the Processor. 

In order to access the Service, the Customer must provide certain data to Keyforce, including correct name, contact data and email address of the users. This information is used for secure authentication and access to the Service as well as individual support and service. In addition, the Customer allows Keyforce access to user-statistics for the purpose of improving and optimizing the Service. The Keyforce Privacy Statement is available in the Keyforce Trust center. ​

Furthermore, Keyforce shall comply with the relevant provisions regarding data privacy and information security of EU Regulation 2016/679 (the General Data Protection Regulation) on the protection of individuals with regard to the processing of personal data and on the free movement of such data, as implemented in the country of legal venue and governing law ref. section 16 in the Agreement. 

8 Processing of financial information 

In the event that the Customer is a financial institution subject to specific rules and regulations, such rules and regulations shall be regulated in Appendix to the Data Processing Agreement between the parties. 

9 Confidentiality 

Keyforce shall secure that everyone who on behalf of Keyforce receives information about the Customer and the Customer’s business, relations and other data, marked as confidential information, are obliged to not expose such information to third parties without the Customer’s consent. This applies accordingly for the Customer. The Customer shall also provide that everyone that act on behalf of Customer protect and keep confidential all other information that Keyforce provides to the Customer, or information that the Customer becomes aware of; to the extent that the Customer understands or should have understood that the information is Keyforce confidential information. The obligation to keep information confidential shall remain in force after expiry of this Agreement. 

10. Fees and payment 

10.1 Subscription Fees 

The monthly subscription fee payable for access to the Service is specified on the Initial Order form. The price is calculated on the basis of the total number of Company Licenses and Users made available to the Service. 

If the Customer orders access for additional Company Licenses and/or Users, cf. clause 10.3 below, the price per company and/or user is the then current Keyforce official price or, if applicable, the agreed price.  

The Customer shall be invoiced for added Company Licenses and/or users, for the period from the time the order has been confirmed by Keyforce and to the end of the current Invoicing period. Added Company Licenses, and added users, will be included in the total number of Company Licenses and the total number of Users, based to calculate the Subscription fee for subsequent Invoicing intervals. 

The Agreement shall be invoiced per invoice interval in advance. The invoice shall cover a period according to the agreed Invoice interval. The first Invoice interval shall be calculated with effect from the turn of the month following the Agreement date. 

The change will have effect from the next Invoice interval. Prices and subscription fees will be adjusted according to Keyforce´s official price list. This Subscription Agreement is a continuous agreement that runs until terminated by any of the parties according to the provisions in clause 11. 

The Customer accepts that all sales documents and reminders are sent electronically. When Keyforce has not been provided with an option to email or e-invoice the sales document, Keyforce is according to local legislation required to send the sales document per post. In these cases, Keyforce will charge an invoice fee per sales document. ​

10.2 Additional services 

Remuneration for other services, such as approved consulting fees, shall be invoiced after the relevant service has been performed and at the agreed prices. 

10.3 Amendments to the number of Company Licenses and to the number of Users covered

Customer may expand the Agreement to cover additional Company Licenses and /or users at any time. The order shall be issued by the person with the authority to commit the Customer. The order is binding for Customer when issued and becomes part of the Agreement upon Keyforce’s confirmation of the order. The order will be implemented after Keyforce has confirmed the order and thereafter, the order is part of this Agreement. ​

The Customer can reduce the number of Users for the Service. The reduction of the number of users covered by this Agreement must be done in writing. Reductions will have effect from the end of the current Invoice interval, under the provision that a written notice of such reduction is sent and received at least 30 days prior to the end of the running Invoice interval. If the reduction notice is not issued in accordance with this provision, the Subscription fee will not be reduced until the subsequent Invoice interval, in which this provision of 30 days’ notice is satisfied.  

11 Termination of Agreement ​

Each party may terminate the Agreement. The termination of the Agreement must be done in writing and will have effect from the end of the running Agreement period. If the customer terminates before the end of the current Agreement period, the customer will still have to pay for the entire Agreement period. A written notice of termination shall be sent to the other party at least 30 days prior to the end of the Agreement period.  

​The termination shall not involve any form of refund of the compensation and shall only indicate that the Agreement will not be extended for a subsequent Agreement period. 

If the notice of termination is not issued in accordance with the provisions in the first paragraph, the Agreement shall be automatically renewed for a new Invoice interval. ​

If the Customer fails to make payments when payments are due or falls into arrears or otherwise does not full-fill its obligations pursuant to the Agreement, Keyforce shall have the right to terminate the Agreement with immediate effect. Keyforce shall have the right to suspend user login, when outstanding payments remain after notice from Keyforce. 

12 Transfer of rights 

Keyforce can in whole or partly, transfer its rights and/or obligations pursuant to this Agreement, as long as this does not substantially hurdle the performance of the Agreement. This should be announced if possible with a 30 days’ notice. The Customer cannot transfer its rights and obligations pursuant to this Agreement without Keyforce´s written approval. Such approval cannot be unreasonably rejected. Keyforce can in whole or partly let its obligations pursuant to the Agreement be performed by a Third-Party, and Keyforce may use Sub-suppliers. 

Keyforce is still fully responsible for the Service towards the Customer also when using such sub-suppliers. 

13 Customer and user communication 

The Customer is obligated to provide Keyforce with contact details, including full name, email and mobile phone, on primary contacts responsible for system administration, security and agreements. Keyforce will store contact details on all users of the service. See clause 7 in this agreement, the Keyforce Privacy Statement and the Data Processing Agreement for further details. 

All changes in the Customer’s contact information, including address changes and changes of the Customer’s contact person with the authority to commit the Customer, shall be communicated in writing to Keyforce. The Customer undertakes to provide correct information regarding the User’s identity and a correct and legitimate e-mail address at all times. 

The Customer agrees that Keyforce from time to time may send the Customer and Users relevant and/or important information about the service, unless the Customer specifically asks not to receive such information. Note that because this Service is an centralized online software service, it may be necessary from time to time to send all Customers and Users important information or notifications related to the operation of the Service. Such notifications can be sent all users, regardless of their subscription’s preferences and consents. 

14 Modifications to Terms of Service 

Keyforce reserves the right to make amendments to the terms and conditions of this Agreement with 3 months prior notice. If amendments are governed in a clause of this Agreement, the stated prior notice applies. All Customers will be informed of such amendments by email or through the information being made available on Keyforce’s websites or Customer Center. ​

15 Intellectual Property and Data Ownership 

Keyforce warrants that Keyforce is the sole owner and holder of any and all the Intellectual Property Rights required for the delivery of the Service to its Customers. Keyforce warrants that the Keyforce software will at all times comply with applicable laws and regulations such as laws pertaining to competition, taxation, corruption and accounting and that Keyforce has all required regulatory licenses, permits and authorizations to provide the Service. 

Customer shall own the Customer Data. Keyforce shall not acquire any right, title or interest to the Customer Data and Keyforce shall not use the Customer Data for any other purpose than as strictly needed to provide the Services in accordance with this Agreement 

16 Disputes 

The rights and obligations of the parties under the Agreement shall in their entirety be governed by the national law applicable to Keyforce. If a dispute arises in connection with the interpretation of the Agreement, the parties shall attempt to resolve the dispute through amicable negotiations. If the dispute cannot be resolved in this way, it shall be referred to the ordinary courts of law at the registered address of Keyforce entity you are contracting with.  

17 Who Customer are contracting with

Below is a table with details of which Keyforce entity the Customer is contracting with and the corresponding governing law and courts.

Norway	Keyforce Norge AS	Karenslyst Allé 56 (HQ), 0277 Oslo	Norwegian	Oslo, Norway
Finland and Sweden	Keyforce Sverige AB	Lindhagensgatan, 94 112 18, Stockholm	Swedish	Stockholm, Sweden
Denmark	Keyforce Danmark Aps	Hovedvejen 3 1, 2600 Glostrup	Danish	Copenhagen, Denmark

DATA PROCESSING AGREEMENT

Between Keyforce AS (“Processor”) and Customer (“Controller”) 

This agreement is valid from November 1st, 2023.

1. Purpose and definitions ​

The purpose of this Data Processing Agreement is to regulate the Processor’s processing of personal data on behalf of the Controller whilst providing the Keyforce AS Software (“the Service”) as further described in the Keyforce Master Subscription Agreement (“MSA”). 

This Data Processing Agreement governs the Processor’s rights and obligations, in order to ensure that all Processing of Personal Data is conducted in compliance with applicable data protection legislation. Processing of Personal Data (as defined below) is subject to requirements and obligations pursuant to applicable law. When the Controller is a legal entity established in the European Economic Area (the "EEA") relevant data protection legislation will include local data protection legislation and the present EU- Regulation 2016/679 dated April 27th 2016. The parties agree to amend this Data Processing Agreement to the extent necessary due to any mandatory new requirements following from the EU Regulation 2016/679 and the revised Electronic Communications Regulation (“ePrivacy”) pursuant to its local implementation. 

“Personal Data” shall mean any information relating to an identified or identifiable natural person, as further defined in applicable law and EU- Regulation 2016/679. 

“Processing” of Personal Data shall mean any use, operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, transfer, storage, alteration, disclosure as further defined in applicable law and EU- Regulation 2016/679. 

“Third Countries” shall mean countries outside of the EU/EEA area which are not recognized as countries providing adequate protection of Personal Data. 

 

2. Controller’s responsibilities 

In order to access the Service, the Controller must provide certain data to the Processor, including correct name, contact data and email address of the users. In addition, the users of the Service must allow the Processor to store and retrieve session information through the use of “cookies” which are necessary to enable the login/logout procedures used in the Service and to ensure that unauthorized persons do not gain access to the Services. ​

The Controller acknowledges and accepts that any Personal Data that the Controller uploads onto the Service, such as uploaded Personal Data pertaining to the Controller’s own customers, may be transferred to a third party (sub processor) based in the European Economic Area (EEA) which will provide for hosting of the Service, including the provisioning of all hardware, infrastructure, data storage and communication lines. The obligations of the third party in regard to Personal Data are set forth in a separate data processing agreement between Processor and the third party within the framework of this Data Processing Agreement. All data in the Service are stored on servers located in Europe. ​

The Controller confirms that the Controller: 

• Has sufficient legal basis for Processing of Personal Data 
• Has the right to use the Processor for Processing of the Personal Data Has the responsibility for the correctness, integrity, content, reliability and legality of the Personal Data 
• Complies with applicable law on notification to and authorizations from relevant authorities
• Has informed the Data Subject in accordance with applicable law 

The Controller shall 

• Reply to requests from the Data Subjects regarding the Processing of Personal Data pursuant to this Data Processing Agreement 
• Assess the necessity for specific measures as set forth in this Data Processing Agreement Art. 3.3.2 and 3.3.4, and order such measures from the Processor. 

The Controller shall implement sufficient technical and organizational measures to ensure and demonstrate compliance with the EU Regulation 2016/679 from the time it enters into force. 

The Controller has a duty to notify any personal data breaches to the relevant authorities and, if necessary, the Data Subjects without undue delay in accordance with applicable law. 

3. Processor’s responsibilities 

3.1 Compliance 

The Processor shall comply with all provisions for the protection of Personal Data set out in this Data Processing Agreement and in applicable data protection legislation with relevance for Processing of Personal Data. The Processor shall provide the Controller with assistance to ensure and document that the Controller complies with its requirements under the applicable data protection legislation. 

The Processor shall comply with the instructions and routines issued by the Controller in relation to the Processing of Personal Data. 

3.2 Restrictions on use 

The Processor shall only Process Personal Data on, and in accordance with, the instructions from the Controller. The Processor shall not Process Personal Data without prior written agreement with the Controller or without written instructions from the Controller beyond what is necessary to fulfil its obligations towards the Controller under the Agreement. 

3.3 Information Security 

3.3.1 Duty to ensure information security 

The Processor shall by means of planned, systematic, organizational and technical measures ensure appropriate information security with regard to confidentiality, integrity and accessibility in connection with the Processing of Personal Data in accordance with the information security provisions in applicable data protection legislation. 

The measures and documentation regarding internal control shall be made available to the Controller upon request. 

3.3.2 Assessment of measures 

In deciding which technical and organizational measures should be implemented, the Processor shall, in consultation with the Controller, take into account: 

• The state of the art 
• The costs of implementation 
• The nature and scope of the processing 
• The context and purpose of the processing, 
• The severity of risks the Processing of Personal Data has for the rights and freedoms of the data subject 

The Processor shall, in consultation with the Controller, consider: 

• Implementing pseudonymising and encryption of Personal Data 
• the ability to ensure the confidentiality, integrity, availability and resilience of processing systems and services on an ongoing basis
• the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident 
• a process for, on an ongoing basis, testing, assessing and evaluating regularly the effectiveness of technical and organizational measures for ensuring the security of the Processing 

3.3.3 Requests from the data subjects 

Considering the nature of the Processing, the Processors shall implement appropriate technical and organizational measures to support the Controller's obligation to respond to requests regarding exercising the rights of the data subject. 

3.3.4 Assistance to the Controller 

The Processor shall assist the Controller in ensuring compliance with applicable law, including assisting the Controller with: 

• Implementing technical and organizational measures as stated above; 
• Complying with duty of notification to supervisory authorities and data subjects in case of a personal data breach 
• Conduct data privacy impact assessments 
• Conduct prior consultations with supervisory authorities when a privacy impact assessment makes it it necessary 
• Notice to the Controller if the Processor is of the opinion that an instruction from the Controller is non-compliant with applicable data protection regulations. 

Assistance as set out above, shall be carried out to the extent necessary, taking into account the Controller’s need, the nature of the processing and the information available to the Processor. 

3.3.5 Compensation 

Assistance from the Processor as set down in this Data Processing Agreement, as well as assistance in relation to specific routines and instructions imposed by the Controller, shall be compensated by the Controller in accordance with the Processor’s regular terms and prices. 

3.4 Discrepancies and data breach notifications 

• Any use of the information systems and the Personal Data not compliant with established routines, instructions from the Controller or applicable data protection legislation, as well as any security breaches, shall be treated as a discrepancy. 

The Processor shall have in place routines and systematic processes to follow up discrepancies, which shall include re-establishing of the normal state of affairs, eliminating the cause of the discrepancy and preventing its recurrence. 

The Processor shall immediately notify the Controller of any breach of this Data Processing Agreement or of accidental, unlawful or unauthorized access to, use or disclosure of Personal Data, or that the Personal Data may have been compromised or a breach of the integrity of the Personal Data. The Processor shall provide the Controller with all information necessary to enable the Controller to comply with applicable data protection legislation and enabling the Controller to answer any inquiries from the applicable data protection authorities. It is the Controller`s responsibility to notify the applicable Data Protection Authority of discrepancies in accordance with applicable law. 

3.5 Confidentiality 

The Processor shall keep confidential all Personal Data and other confidential information. The Processor shall ensure that each member of the staff of the Processor, whether employed or hired employee, having access to or being involved with the Processing of Personal Data under the MSA (i) undertakes a duty of confidentiality and (ii) is informed of and complies with the obligations of this Data Processing Agreement. The duty of confidentiality shall also apply after termination of the MSA or this Data Processing Agreement. 

3.6 Security audits 

The Processor shall on a regular basis carry out security audits for systems and similar relevant for the Processing of Personal Data covered by this Data Processing Agreement. Reports documenting the security audits shall be available to the Controller. 

The Controller has the right to demand security audits performed by an independent third party at the Processors choice. The third party will provide a report to be delivered to the Controller upon request. The Controller accepts that the Processor may claim compensation for the performance of the audit. ​

3.7 Use of sub-contractors (sub-processors) 

The Processor is entitled to use sub-contractors and the Controller accepts the use of sub-contractors. A list of pre-approved sub-processors is available in the Keyforce Trust Center. The Processor shall, by written agreement with any sub-contractor ensure that any Processing of Personal Data carried out by sub-contractors shall be subject to the same obligations and limitations as those imposed on the Processor according to this Data Processing Agreement. 

If the Processor plans to change sub-contractors or plans to use a new sub-contractor, Processor shall notify the Controller in writing 4 months prior to any Processing by the new sub-contractor, and the Controller may within 1 month of the notice object to the change of sub-contractors. Should the Controller object to the change, Controller may terminate the MSA upon 3 months' notice. To the extent Controller does not terminate the MSA, the change of sub-contractor shall be regarded as accepted. 

3.8 Transfer of Personal Data to Third Countries 

If the Processor uses sub-contractors outside the EU/EEA area for Processing of Personal Data, such Processing must be in accordance with the EU Privacy Shield Framework, EU Standard Contractual Clauses for transfer to third countries, or another specifically stated lawful basis for the transfer of personal data to a third country. For the avoidance of doubt, the same applies if the data is stored in the EU/EEA but may be accessed from locations outside the EU/EEA. 

Should the Controller approve such transfer of Personal Data, the Processor is obligated to cooperate with the Controller in order to ensure compliant transfers. 

4. Liability, breach 

In the event of breach of this Data Protection Agreement, or a breach of obligations according to applicable law on Processing of Personal Data, the relevant provisions regarding breach in the MSA shall apply. 

Claims from one party due to the other party’s non-compliance with the Data Processing Agreement shall be subject to the same limitations as in the MSA. In assessing whether the limitation in the MSA is reached, claims under this Data Processing Agreement and the MSA shall be viewed in conjunction, and the limitation in the MSA shall be viewed as a total limitation. 

The Processor shall notify the Controller without undue delay if it will or has reason to believe it will be unable to comply with any of its obligations under this Data Protection Agreement. 

5. Term and termination of the Data Processing Agreement, changes 

This Data Processing Agreement shall be effective from the date it is signed by both parties and until the Processor's obligations in relation to the performance of services in accordance with the MSA is terminated, except for those provisions in the MSA and Data Processing Agreement that continues to apply after such termination. 

Upon termination of this Data Processing Agreement the Personal Data/data shall be returned in a standardized format and medium along with necessary instructions to facilitate the Controller’s further use of the Personal Data/data. The Processor shall first return and subsequently delete all Personal Data and other data. The Processor (and its sub-contractors) shall immediately stop the Processing of Personal Data from the date stipulated by the Controller 

As an alternative to returning the Personal Data (or other data), the Controller may, at its sole discretion, instruct the Processor in writing, that all or parts of the Personal Data (or other data) shall be deleted by the Processor, unless the Processor is prevented by mandatory law from deleting the Personal Data. 

The Processor has no right to keep a copy of any data provided by the Controller in relation to the MSA or this Data Protection Agreement in any format, and all physical and logical access to such Personal Data or other data shall be deleted. 

The Processor shall provide the Controller with a written declaration whereby the Processor warrants that all Personal Data or other data mentioned above has been returned or deleted according to the Controller’s instructions and that the Processor has not kept any copy, print out or kept the data on any medium. 

The obligations pursuant to sections 3.5 and 4 shall continue to apply after termination. Further, the provisions of the Data Processing Agreement shall apply in full to any Personal Data retained by the Processor in violation of this section 5. 

The parties shall amend this Data Protection Agreement upon relevant changes in applicable law.   

6. Dispute and jurisdiction 

This Data Processing Agreement shall be governed by the laws according to the Keyforce entity the Customer is contracting with: 

Norway	Keyforce Norge AS	Karenslyst Allè 56 (HQ), 0277 Oslo	Norwegian	Oslo, Norway
Finland and Sweden	Keyforce Sverige AB	Lindhagensgatan 94, 112 18 Stockholm	Swedish	Stockholm, Sweden
Denmark	Keyforce Danmark Aps	Hovedvejen 3 1, 2600 Glostrup	Danish	Copenhagen, Denmark

LIST OF PREAPPROVED SUB-PROCESSORS IN KEYFORCE SOFTWARE

This agreement is valid from December 1st 2019.

According to clause 3.7 in the Data Processing Agreement between Customer (Controller) and Keyforce  (Processor), Keyforce shall maintain a list of pre-approved sub-processors (Sub-Contractors). 

Keyforce is the provider of the software 

Company Name	Keyforce AS
Keyforce Affiliates	Keyforce Norge AS, Keyforce AB, Keyforce Danmark Aps
Description of Service	Cloud Service Provider. Keyforce Online Services offering routing and connection-based functionality for communication between Controllers as well as applications for use in sales, marketing and service.
The Personal Data to be Processed concerns the following categories of Data Subjects (Persons)	As a Processor Keyforce maintain a Database of user specific information for the Controller. No Personal Data is stored with the User information. Keyforce also store a Database for the Controller if the offering requires it. Data Subjects and categories of Personal Data registered in the Database is defined by the Controller.
Processing of data	Data entered by the Controller into the Online service are processed by sub-processors listed in this document.
Sensitive personal Data (if relevant)	Keyforce is not aware of or notified if Controller enters sensitive information into the Database.

Pre-approved sub-Processors 

The following sub-processors are pre-approved by Keyforce AS: 

Microsoft Azure 
Webhuset AS

Microsoft Coporation:

Entity Company Name	Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, US
Company Website	www.microsoft.com
Entity Country	US
Processing Country	The Netherlands and Ireland
Entity Type and description of Service	Hosting provider and service provider. Hosting and operations for of all servers and infrastructure for use with Keyforce Online Services. No personal data is stored directly.
The Personal Data to be Processed concerns the following categories of Data Subjects (Persons)	Potentially Personal Data contained in Business Data stored by the Controller.
Categories of Personal Data	Potentially Personal Data contained in Business Data
Sensitive personal Data (if relevant)	Potentially Personal Data contained in Business Data
The Personal Data will be subject to the following Processing activities.	None
Additional information regarding Privacy and Security Governance.	https://www.microsoft.com/en-us/trustcenter/cloudservices/azure

 

Webhuset AS:

Entity Company Name	Webhuset AS
Company Website	www.webhuset.no
Entity Country	Norway
Processing Country	Norway
Entity Type and description of Service	Hosting provider. Hosting and operations of KBS servers, which includes inOrder and inProject. Also stores the complete KBS database
The Personal Data to be Processed concerns the following categories of Data Subjects (Persons)	Users of KBS. Potentially user data on orders and documents
Categories of Personal Data	Potentially user data on orders and documents
Sensitive personal Data (if relevant)	Potentially user data on orders and documents
The Personal Data will be subject to the following Processing activities.	None
Additional information regarding Privacy and Security Governance.	https://www.webhuset.no/personvern

 

Privacy Statement

This agreement is valid from November 1st 2023.

In Keyforce we are committed to protect and respect your privacy in compliance with EU- General Data Protection Regulation (GDPR) 2016/679, dated April 27th 2016. This privacy statement explains when and why we collect personal information, how we use it, the conditions under which we may disclose it to others and how we keep it secure. This Privacy Statement applies to the use of our products and to our sales, marketing and customer contract fulfilment activities. It also applies to individuals seeking a job in Keyforce. 

1. Who are we? 

Keyforce develops software for standard integrations that tie ERP systems together with CRM systems. By integrating customer data from your accounting system correctly with your CRM system, your users will experience great time savings, a better daily work experience and better data quality. Presently we have employees working in offices around Denmark, Sweden, and Norway. 

The headquarters’ registered office address is Karenslyst Allé 56, 0277 Oslo, Norway. 

Keyforce AS is the Data Controller and we can be contacted by email [email protected]

2. When do we collect personal data about you? 

• When you are using our products. 
• When you interact with us in person, through correspondence, by phone, by social media, or through our websites. 
• When we collect personal information from other legitimate sources, such as third-party data aggregators, Keyforce marketing partners, public sources or social networks. We only use this data if you have given your consent to them to share your personal data with others. 
• We may collect personal data if it is considered to be of legitimate interest, and if this interest is not overridden by your privacy interests. Before data is collected we make sure an assessment is made, ensuring that there is an established mutual interest between you and Keyforce.   

3. Why do we collect and use personal data? 

We collect and use personal data mainly to perform direct sales, direct marketing and customer service. We also collect data about suppliers, partners and persons seeking a job or working in our company. 

We may use your information for the following purposes: 

• Send you marketing communications which you have requested. These may include information about our products and services, events, activities, and promotions of our associated partners’ products and services. This communication is subscription based and requires your consent. 
• Send you information about the products and services that you have purchased from us. 
• Perform direct sales activities in cases where legitimate and mutual interest is established. 
• Provide you content and venue details on a webinar or event you signed up for. 
• Reply to a ‘Contact me’ or other web forms you have completed on our websites (e.g. to download a whitepaper). 
• Follow up on incoming requests (customer support, emails, chats, or phone calls). 
• Provide access to our Customer Support portal. 
• Perform contractual obligations such as order confirmation, license details, invoice, reminders, and similar. The contract may be with Keyforce directly or with a Keyforce partner. 
• Notify you about any disruptions to our services (system messages). 
• Contact you to conduct surveys about your opinion on our products and services. 
• Process a job application.

4. Our legal basis for collecting personal data 

4.1 Collecting personal data based on consents 

The collection of personal data based on consent from the data subject will be done by using “Consent Forms” that will store documentation related to the consent given by the individual. Individual consents will always be stored and documented in our systems. ​

4.2 Collecting personal data based on contracts 

We use personal information for fulfilling our obligations related to contracts and agreements with customers, partners and suppliers. 

4.3 Collecting personal data based on legitimate interest 

We may use personal data if it is considered to be of legitimate interest, and if the privacy interests of the data subjects do not override this interest. Normally, to establish the legal basis for data collection, an assessment has been made during which a mutual interest between Keyforce and the individual person has been identified. This legal basis is primarily related to our sales and marketing purposes. We will always inform individuals about their privacy rights and the purpose for collecting personal data.   

5. What type of personal data is collected? 

We collect name, phone number, title and email address, in addition to your company’s name and contact information. We may also collect feedback, comments and questions received from you in service-related communication and activities, such as meetings, phone calls, documents, and emails. From our websites we may collect IP-address and actions taken on the site. 

If you apply for a job at Keyforce, we collect the data you provide during the application process. 

Keyforce does not collect or process any special categories of personal data, such as public unique identifiers or sensitive personal data. 

6. How long do we keep your personal data? 

We store personal data for as long as we find it necessary to fulfill the purpose for which the personal data was collected, while also considering our need to answer your queries or resolve possible problems, to comply with legal requirements under applicable laws, to attend to any legal claims/complaints, and for safeguarding purposes. 

This means that we may retain your personal data for a reasonable period of time after your last interaction with us. When the personal data that we have collected is no longer required, we will delete it in a secure manner. We may process data for statistical purposes, but in such cases, data will be anonymized. 

7. Your rights to your personal data 

You have the following rights with respect to your personal data: 

• The right to request a copy of your personal data that Keyforce holds about you. 
• The right to request that Keyforce corrects your personal data if inaccurate or out of date. 
• If you are a customer or partner and you have registered a profile on our Customer Center, you may update your user profile by logging into Customer Center and selecting “Edit Profile”. 
• If you are a customer and use a Keyforce product, you may update your user profile inside the application 
• The right to request that your personal data is deleted when it is no longer necessary for Keyforce to retain such data. 
• The right to withdraw any consent to personal data processing at any time. For example, your consent to receive e-marketing communications: 
• If you want to withdraw your consent to e-marketing, please make use of the link to manage your subscriptions included in our communication. Please note that you may still receive system messages and administrative communications from Keyforce, such as order confirmations, system messages and notifications about your account activities. 
• The right to request that Keyforce provides you with your personal data and, if possible, to pass on this information directly (in a portable format) to another data controller when the processing is based on consent or contract. 
• The right to request a restriction on further data processing, in case there is a dispute in relation to the accuracy or processing of your personal data. 
• The right to object to the processing of personal data, in case data processing has been based on legitimate interest and/or direct marketing. 

Any query about your Privacy Rights should be sent to [email protected]. 

8. The use of cookies and beacons 

We use cookies and web beacons (‘Website Navigational Information’) to collect information as you navigate the company’s websites. Website Navigational Information includes standard information from your web browser, such as browser type and browser language; your Internet Protocol (“IP”) address; and the actions you take on the company’s websites, such as the web pages viewed and the links clicked. 

This information is used to make websites work more efficiently, as well as to provide business and marketing information to the owners of the site, and to gather such personal data as browser type and operating system, referring page, path through site, domain of ISP, etc. for the purposes of understanding how visitors use a website. Cookies and similar technologies help us tailor our website to your personal needs, as well as to detect and prevent security threats and abuse. If used alone, cookies and web beacons do not personally identify you. 

9. Do we share your data with anyone? 

We do not share, sell, rent, or trade your information with any third parties without your consent, except from what is described below:   

9.1 Third-party Service Providers working on our behalf: 

We may pass your information on to our Certified Partners, sub-contractors and other associated organizations with the purpose of them providing services to you on our behalf. 

9.2 Third-party Product Providers we work in association with: 

We work closely with various third-party product providers to bring you a range of products and services designed to meet your extended needs. When you enquire about or purchase one or more of these products, the relevant third-party product provider will use your details to provide you with information and carry out their obligations arising from any contracts you have entered into with them. In some cases, our third-party product providers will be acting as data processors of your information and, therefore, we advise you to read their Privacy Policy and sign a Data Processing Agreement. These third-party product providers will share your information with us, which we will use in accordance with this Privacy Statement. 

9.3 If required by law: 

We will disclose your personal information if required by law or if we, as a company, reasonably believe that disclosure is necessary to protect our company’s rights and/or to comply with a judicial proceeding, court order or legal process. However, we will do what we can to ensure that your privacy rights continue to be protected. 

10. Use of sub-contractors (processors and sub-processors) 

We may use sub-contractors to process personal data on our behalf, we are responsible for making sure they commit themselves to adhere to this Privacy Policy and applicable data protection legislation by signing a Data Processing Agreement. 

If the sub-contractor processes Personal Data outside the EU/EEA area, such processing must be in accordance with the EU Privacy Shield Framework, EU Standard Contractual Clauses for transfer to third countries, or another specifically stated lawful basis for the transfer of personal data to a third country. 

If a new sub-contractor is signed or a change of sub-contractor is performed related to our Service, the customers will be notified in line with our Terms of Service. A directory of approved sub-processors is part of our Data Processing Agreement available in the Trust Center. 

11. Changes to this Privacy Statement 

Keyforce reserves the right to amend this Privacy Statement at any time. The applicable version will always be found on our websites. We encourage you to check this Privacy Statement occasionally to ensure that you are happy with any changes. 

If we make changes that significantly alter our privacy practices, we will notify you by email or post a notice on our websites prior to the change taking effect. 

12. Your right to complain with a supervisory authority 

If you are unhappy with the way in which your personal data has been processed, you may, in the first instance, contact [email protected]. If you remain dissatisfied, then you have the right to apply directly to your national supervisory authority for a decision. 

The supervisory authorities can be contacted at: 

Norway: 
Datatilsynet 
www.datatilsynet.no 

KEYFORCE MASTER SUBSCRIPTION AGREEMENT "MSA"

Denne avtalen er gyldig fra 01.11.2023 

1. Avtalens omfang 
Avtalen regulerer Kundens tilgang og rett til å bruke Keyforce programvare. 

Keyforce beholder alle rettigheter til alle elementer som Tjenesten består av. Kunden tildeles ingen lisens eller bruksrett utover det som er uttrykkelig angitt i denne Avtalen. Avtalen innebærer at Kunden skal ha rett til å motta brukerstøtte, slik det er definert under punkt 4 av denne Avtalen. ​

Denne Avtalen gjelder fra datoen den ble akseptert. Aksept anses å finne sted når Kunden inngår avtale om å betale for abonnement på Tjenesten ved å signere Skjema for første bestilling og Databehandleravtale. 

2. Definisjoner 

“Abonnementsavgift” er hele beløpet du belastes for å bruke Tjenesten i henhold til ditt Fakturaintervall. 

“Avtaledato” er datoen du signerer “Skjema for første bestilling”. Kunden er fra denne datoen en kunde, og vi vil aktivere Tjenesten uten ugrunnet opphold. 

“Avtaleperiode” er den gjeldende avtaleperioden. Dette betyr den opprinnelige avtaleperioden beskrevet på første bestillingsskjema.

“Bruker” er navnet på lisensen som tilordnes en enkelt bruker for et bestemt funksjonssett. 

“Firmalisens” er navnet på tjenester med et sett av funksjoner tilgjengelig per installasjon / firma ​

“Fakturaintervall” er betalingsperioden som er spesifisert i Skjema for første bestilling eller når avtalen endres, skriftlig på et senere tidspunkt. Fakturaintervall er hver tredje måned. 

“Kundeopplysninger” skal I denne Avtalen betyr all informasjon som Kunden lagrer på Keyforces eller Keyforces underleverandørers servere. 

“Skjema for første bestilling” brukes til å beskrive dokumentene (inkludert informasjon om antall Brukere, Fakturaintervall, priser, Databehandleravtale osv.) som skal signeres når man bestiller Tjenesten. 

“Tjenesten” betyr Keyforce Programvare - en programvare som er bestilt av Kunden via Skjema for første bestilling.

“Tjeneste” ekskluderer innhold og Tredjepartstjenester. 

“Tredjepartstjenester” betyr produkter, tjenester, funksjonalitet eller innhold levert av Tredjeparts tjenesteleverandører. Tredjeparts tjenester er ikke regulert av denne Avtalen, men krever en separat avtale mellom Kunden og Tredjeparts tjenesteleverandør. ​

3. Kundes ansvar 

3.1 Begrenset tilgang til bruk av Tjenesten 

Retten til bruk av Tjenesten er til enhver tid begrenset til det antall Brukere som Kunden abonnerer og betaler for. 

Hvis Brukeren har behov for å utvide Avtalen slik at den dekker flere brukere, skal abonnementet for flere Brukere bestilles fra Keyforce i samsvar med prosedyrene i punkt 10. ​

Abonnementer i henhold til denne Avtalen er begrenset til Kundens ansatte og konsulenter, som i henhold til avtalen med Kunden utfører tjenester for Kunden. Kunden skal kreve at brukerne forplikter seg til å overholde disse vilkårene og betingelsene som følger av denne Avtalen. Kunden skal ikke gi andre personer eller virksomheter direkte eller indirekte tilgang til eller til bruk av Tjenesten eller dokumentasjonen, på andre måter enn det som uttrykkelig følger av denne Avtalen. 

Kunden kan bare bruke Tjenesten til Kundens interne formål. Kunden har ikke rett til å foreta databehandling på vegne av en tredjepart ved bruk av Tjenesten. Kunden forplikter seg til å bruke Tjenesten i henhold til gjeldende lover og regler, tillatelser, begrensninger og kravene i denne Avtalen. 

Kunden er ansvarlig for alle opplysninger, alt materiale og informasjon som Kunden eller dennes Brukere behandler ved hjelp av Tjenesten. Kunden må ikke bruke Tjenesten til å sende ulovlig søppelpost eller annet ulovlig materiale. Kunden må ikke lagre, behandle eller sende materiale som inneholder programvarevirus og lignende skadelig programkode, skript, filer eller programmer.  

Kunden må ikke prøve å skaffe seg uautorisert tilgang til Tjenesten eller tilknyttede nettverk eller systemer. Kunden er til enhver tid ansvarlig for ikke å påvirke eller forstyrre sikkerheten, integriteten eller ytelsen til Tjenesten eller dataene den inneholder. 

En høyhastighetsinternettilkobling kreves for riktig overføring av Tjenestene. Kunden er ansvarlig for nettverkstilkoblingen som knytter kundens nettverk til Tjenesten, inkludert «nettleser»-programvare som støttes av Keyforce. Slik infrastruktur skal støtte HTTP over Transport Layer Security (TLS). Keyforce påtar seg ikke ansvar for påliteligheten eller ytelsesevnen til noen av koblingene som beskrevet i dette punktet. 

I tilfelle brudd på disse vilkårene har Keyforce rett til å si opp Avtalen og stenge Kundens tilgang til Tjenesten med umiddelbar virkning. Slike tiltak fra Keyforce sin side fritar ikke Kunden fra plikten til å betale for hele den gjeldende Avtaleperioden. ​

3.2 Tredjepartstjenester 

Kunden kan integrere Tredjepartstjenester (Programmer) med Tjenesten. Eventuelle kjøp eller utvikling av Kunden av slike Programmer, og enhver utveksling av opplysninger mellom Kunden og tredjepart, er et forhold mellom Kunden og den aktuelle Tredjepartsleverandøren. Keyforce gir ikke garanti eller support for Tredjepartstjenester, uansett om de er «sertifisert» av Keyforce, med mindre annet eksplisitt er angitt i Ordreskjemaet. 

Dersom Keyforce mottar informasjon om at en Tredjepartstjeneste kan være i strid med gjeldende rett eller tredjeparts rettigheter, vil Keyforce varsle Kunden som umiddelbart må deaktivere eller endre slik Tredjepartstjeneste for å løse den potensielle krenkelsen. Dersom Kunden ikke iverksetter nødvendige tiltak som nevnt over, kan Keyforce deaktivere det aktuelle Innhold, Tjeneste og/eller Tredjepartstjeneste inntil den potensielle krenkelsen er løst. 

Kundeopplysninger 

Dersom Kunden velger å benytte seg av en Tredjepartstjeneste med Tjenesten, må Kunden ha godkjennelse fra Keyforce for å tillate at Tredjepartstjenesten og dets leverandør får tilgang til Kundedata som kreves for interoperabilitet av Tredjepartstjenesten med Tjenesten. Keyforce er ikke ansvarlig for offentliggjøring, modifikasjon eller sletting av Kundedata som resultat av Tredjepartstjenestens eller leverandørens tilgang. Databehandleravtaler må inngås mellom Kunden og en slik Tredjepartstjenesteleverandør. Kunden er ansvarlig for å informere Brukere om all utlevering av personopplysninger til Tredjepartstjenesteleverandør. 

4. Brukerstøtte 

Kunden gis rett til tilgang til kundesenteret til Keyforce hvor utdanningsressurser, hjelp, ofte stilte spørsmål, opplæring og inspirasjon er tilgjengelig. Brukerstøtte inkluderer også e-post via [email protected]

Vårt brukerstøtteteam er tilgjengelig for Kunder mandag til fredag innenfor vanlig arbeidstid (8 timer per dag/5 dager i uken, CET +1) med unntak for offentlige høytidsdager. Brukerstøtte innebærer at Keyforce etter beste evne skal løse programvareproblemer basert på Kundens detaljerte beskrivelse av problemet. Det garanteres ikke at det finnes en løsning.  ​

Brukerstøtter skal gjøres tilgjengelig i henhold til følgende retningslinjer: 

Kunden vil bruke sin beste innsats og mest kvalifiserte medarbeidere til å lete etter årsaken til problemet og å dele detaljert informasjon med brukerstøttepersonellet.​

Innmeldte tilfeller som ikke samsvarer med vilkårene som er nevnt over vil bli fakturert etter Keyforce sine gjeldende timesatser for konsulenttjenester. Godkjennelse av slik fakturering bør gjøres på forhånd. 

Brukerstøtten dekker bare Tjenesten når den brukes i henhold til Keyforces anbefalinger. Tjenesten dekker derfor ikke andre programmer, konfigurasjoner, systemintegrasjon, operativsystemer og lignende. Det samme gjelder Kundens maskinvare, interne nettverk, internettilkobling eller perifert utstyr som er uavhengig av Tjenesten.​

Brukerstøtten dekker heller ikke reparasjon eller gjenoppretting av innhold i databaser eller problemer som er forårsaket av Kunden. 

Keyforce forbeholder seg retten til å anbefale opplæringskurs eller konsulenttjenester hvis Brukerstøtten gis i form av generell opplæring. Keyforce forbeholder seg også retten til å sende Kunden beskrivelser av mulige løsninger som Kunden selv må forsøke å følge for å løse det aktuelle problemet. 

Brukerstøtten inkluderer ingen form for konsulenttjenester. Kunden kan kjøpe konsulenttjenester i tillegg til Brukerstøtten som er gitt i henhold til Avtalen. Slike konsulenttjenester vil bli tilgjengelig på timepris basert på Keyforces fra tid til annen gjeldende priser. 

5. Avtalebrudd og ansvarsbegrensning 

Det foreligger et brudd på Avtalen dersom en av partene ikke oppfyller betingelsene som er angitt i Avtalen. 
Det skal ikke anses som et brudd på Avtalen av Keyforces side hvis Tjenesten er utilgjengelig på grunn av feil, hvis den har redusert funksjonalitet eller hvis Kunden får dårlig responstid på grunn av ett av de følgende forhold: i) på grunn av forhold som er utenfor Keyforces kontroll eller ii) på grunn av forhold som er knyttet til Tjenesten, hvis Keyforce forsøker å rette opp feilen innen rimelig tid. Keyforces plikt til å forsøke å rette opp feilen er begrenset til det som er rimelig ut fra forholdene. 

Keyforce gir ingen garantier eller løfter om at funksjonaliteten i Programvaren vil oppfylle Kundens individuelle krav, forventninger eller behov. Keyforce gir verken garantier eller løfter om at det ikke vil oppstå avbrudd eller feil ved drift av Tjenesten. 

Keyforce er ikke under noen omstendigheter ansvarlig for indirekte tap, inkludert, men ikke begrenset til, tapt fortjeneste av noe slag, tap som skyldes forsinket oppstart av drift eller driftsforstyrrelser, tap av goodwill, manglende tilgang og/eller krav fra tredjeparter.  

Keyforce er bare ansvarlig for feil i Programvaren hvis Keyforce ikke forsøker å rette feil som Keyforce har bekreftet at de vil forsøke å rette. Det gis ingen garanti om at feilen kan rettes på en tilfredsstillende måte. Eventuelt ansvar er begrenset til direkte tap som Kunden kan dokumentere, og slikt ansvar skal for hele Avtalens varighet begrenses til kompensasjon for den Avtaleperioden da feilen oppstod. Det kan ikke påberopes ansvar som følger av mangel eller feil i Programvaren eller Tjenesten, med mindre det er uttrykkelig angitt i denne Avtalen. 

6. Rettsmangler 

Hvis en tredjepart går til søksmål og hevder at Tjenesten krenker en annen parts opphavsrett, eiendomsrett eller immaterielle rettigheter, skal Keyforce for egen regning forsvare seg selv og Kundens interesser. Dette gjelder imidlertid bare i den grad at Kunden umiddelbart varsler Keyforce om søksmålet, og at Keyforce får full kontroll over saken, og at Kunden samarbeider med Keyforce under forhandlingene og under en eventuell rettssak. Keyforce skal i slike tilfeller dekke saksomkostninger og erstatning som idømmes Kunden. Ingen andre krav enn det som er angitt i dette punkt, kan fremsettes overfor Keyforce på grunn av rettsmangler. ​

7. Behandling av personopplysninger

Keyforce vil behandle personopplysninger på vegne av Kunden for det formål å oppfylle Avtalen. Partene skal inngå en separat Databehandleravtale (DPA) hvor Kunden er Behandlingsansvarlig og Keyforce er Databehandler. ​

For å få tilgang til Tjenesten må Kunden oppgi visse opplysninger til Keyforce, inkludert riktig navn, kontaktinformasjon og e-postadresse til brukerne. Denne informasjonen brukes for sikker autentisering og for å få tilgang til Tjenesten i tillegg til å individuell brukerstøtte og service. I tillegg aksepterer Kunden at Keyforce får tilgang til brukerstatistikk med det formål å forbedre og optimalisere Tjenesten. Brukerstatistikk inneholder ikke Personopplysninger, all data er anonymisert. Keyforce Privacy Statement er tilgjengelig på Keyforce Trust Center. 

Videre skal Keyforce overholde de relevante bestemmelsene om personvern og informasjonssikkerhet i henhold til EU-forordning 2016/679 (the General Data Protection Regulation) om beskyttelse av enkeltpersoner med hensyn til behandling av personopplysninger og fri flyt av slike opplysninger, som implementert i det land og i den rett denne Avtalen reguleres av, jf. punkt 16 i denne Avtalen. 

8. Behandling av finansiell informasjon 

I tilfelle en Kunde er en finansiell institusjon som er underlagt særskilte regler og forskrifter, skal slike regler og forskrifter reguleres i et vedlegg til Databehandleravtalen mellom partene. ​

9. Konfidensialitet 

Keyforce skal sikre at alle som på vegne av Keyforce mottar informasjon om Kunden og Kundens virksomhet, relasjoner samt andre opplysninger som er merket som konfidensiell informasjon, er forpliktet til å ikke gi disse opplysningene til en tredjepart uten Kundens samtykke. Dette gjelder tilsvarende for Kunden. Kunden må også sørge for at alle som handler på vegne av Kunden beskytter og oppbevarer konfidensiell og annen informasjon som Keyforce leverer til Kunden, eller informasjon som Kunden blir oppmerksom på; i den grad Kunden forstår eller burde ha forstått at den aktuelle informasjonen er konfidensiell informasjon for Keyforce. Denne plikten til hemmelighold av informasjon skal også gjelde etter Avtalens utløp. 

10. Priser og betaling 

10.1 Abonnementsavgift 

Den månedlige abonnementsavgiften som skal betales for tilgang til Tjenesten, er angitt på Innledende Ordreskjema. Prisen beregnes basert på det til enhver tid totale antallet Firmalisenser og Brukere tilgjengelig. Hvis Kunden bestiller tilgang for flere brukere, jf. punkt 10.3 under, skal prisen per bruker være Keyforces gjeldende standardpris på det tidspunktet, eller eventuelt den avtalte prisen. 

Kunden skal faktureres for ekstra brukere i henhold til Brukerplaner for perioden fra tidspunktet da bestillingen ble bekreftet av Keyforce, og frem til utgangen av inneværende Fakturaperiode. Ekstra brukere vil bli inkludert i det totale antall brukere per Brukerplan, og brukes til å beregne Abonnementsavgiften for påfølgende faktureringsperioder. 

Avtalen faktureres forskuddsvis pr. Fakturaintervall. Fakturaen skal dekke en periode i henhold til det avtalte Fakturaintervallet. Det første Fakturaintervallet skal beregnes fra første månedsskifte etter Avtaledatoen. 

Priser og abonnementsgebyrer vil justeres i henhold til Keyforces offisielle prisliste. 

Denne Abonnementsavtalen er en løpende avtale som løper frem til oppsigelse fra en av partene i henhold til bestemmelsene i punkt 11. 

Kunden aksepterer at alle salgsdokumenter og påminnelser blir sent elektronisk. Når Keyforce ikke har fått et alternativ til å sende salgsdokumenter via e-post eller e faktura, kan Keyforce i henhold til kravene i lokal lovgivning sende dokumentene per post. I disse tilfellene vil Keyforce belaste for et fakturagebyr per salgsdokument. ​

10.2 Ytterligere tjenester 

Vederlag for andre tjenester, for eksempel godkjente konsulenttimer, skal faktureres etter at den aktuelle tjenesten er utført og til avtalt pris. 

10.3 Endringer i antall Brukere 

Kunden kan når som helst utvide Avtalen til å dekke flere brukere. Bestillingen må foretas av den personen som har fullmakt til å forplikte Kunden. Bestillingen er bindende for Kunden når den utstedes og blir en del av Avtalen ved Keyforces bekreftelse på bestillingen. Bestillingen blir implementert etter at Keyforce har bekreftet bestillingen. Deretter er bestillingen en del av Avtalen. ​

Kunden kan redusere antall brukere for Tjenesten. Reduksjon i antall brukere som dekkes av denne Avtalen må gjøres skriftlig. Reduksjoner vil tre i kraft fra utgangen av inneværende Fakturaintervall forutsatt at skriftlig varsel om slik reduksjon er sendt og mottatt minst 30 dager før utgangen av inneværende Fakturaintervall. Hvis varselet om reduksjon ikke sendes i henhold til denne bestemmelsen, vil ikke Abonnementsavgiften bli redusert før etterfølgende Fakturaintervall, når bestemmelsen om 30 dagers varsel er oppfylt.  

11. Oppsigelse av Avtalen 

Begge parter kan si opp Avtalen. Oppsigelsen av Avtalen må gjøres skriftlig, og har effekt fra slutten av inneværende Avtaleperiode. Hvis kunden sier opp før utløpet av den inneværende Avtaleperioden, må kunden fortsatt betale for hele Avtaleperioden. Skriftlig varsel om oppsigelse må sendes til den andre parten minst 30 dager før utgangen av Avtaleperioden. Oppsigelsen omfatter ikke noen form for tilbakebetaling, og skal bare tilkjennegi at Avtalen ikke vil bli forlenget til påfølgende Avtaleperiode. 

Hvis oppsigelsen ikke gis i samsvar med bestemmelsene i første avsnitt, skal Avtalen automatisk fornyes for et nytt Fakturaintervall. 

Hvis Kunden ikke betaler ved forfall, havner på etterskudd eller på annen måte ikke oppfyller sine plikter i henhold til Avtalen, har Keyforce rett til å si opp Avtalen med umiddelbar virkning. Keyforce skal ha rett til å suspendere brukerinnlogging hvis utestående betalinger uteblir etter varsel fra Keyforce. ​

12. Overføring av rettigheter 

Keyforce kan helt eller delvis overføre sine rettigheter og/eller plikter i henhold til denne Avtalen, forutsatt at dette ikke er til hinder for oppfylling av Avtalen. Dette skal om mulig kunngjøres med 30 dagers varsel. Kunden kan ikke overføre sine rettigheter og plikter i henhold til denne Avtalen, uten skriftlig godkjenning fra Keyforce. Slik godkjenning kan ikke nektes uten rimelig grunn. Keyforce kan la en tredjepart helt eller delvis oppfylle sine forpliktelser i henhold til Avtalen, og Keyforce kan bruke underleverandører. 

Ved bruk av slik underleverandør er fortsatt Keyforce fullt ansvarlig for Tjenesten levert til Kunden. 

13. Kunde og brukerkommunikasjon 

Kunden er forpliktet til å gi Keyforce kontaktinformasjon som fullt navn, e-post og mobilnummer, på primære kontakter som er ansvarlige for systemadministrasjon, sikkerhet og avtaler. Keyforce vil lagre kontaktinformasjonen for alle brukere av tjenesten. Se punkt 7 i denne avtalen, Keyforce Privacy Statement og Databehandleravtalen for ytterligere detaljer. ​

Alle endringer i Kundens kontaktinformasjon, inkludert endringer i adresse og endringer i Kundens kontaktperson med fullmakt til å binde Kunden, skal gis skriftlig til Keyforce. Kunden forplikter seg til å gi korrekt informasjon om brukernes identitet og rettmessig e-postadresse til enhver tid. 

Kunden aksepterer at Keyforce fra tid til annen kan sende Kunden og Brukere relevant og/eller viktig informasjon om Tjenesten, med mindre Kunden spesifikt har bedt om å ikke motta slik informasjon. Merk at fordi denne Tjenesten er en sentralisert nettbasert programvaretjeneste, kan det være nødvendig fra tid til annen å sende alle Kunder og Brukere viktig informasjon eller varsler knyttet til driften av Tjenesten. Slike varsler kan bli sendt til alle brukere, uavhengig av deres abonnementspreferanser og samtykke. 

14. Endringer i Tjenestevilkårene 

Keyforce forbeholder seg retten til å foreta endringer til vilkårene og betingelsene i denne Avtalen med 3 måneders forhåndsvarsel. Dersom endringene er regulert i et punkt i denne Avtalen, gjelder forutgående varsel. Alle Kunder vil bli informert om slike endringer per e-post eller gjennom informasjon som publiseres på Keyforces nettside eller Keyforce Kundesenter.

15. Immaterielle rettigheter og eierskap til data 

Keyforce garanterer at Keyforce er eneste eier og innehaver av alle immaterielle rettigheter som kreves for levering av Tjenesten til Kundene. Keyforce garanterer at Keyforces programvare til enhver tid vil overholde gjeldende lov og forskrifter slik som lover angående konkurranse, skatt, korrupsjon og regnskap og at Keyforce har alle pålagte lisenser, tillatelser og autorisasjoner til å levere Tjenesten. ​

Kunden skal eie Kundens opplysninger. Keyforce skal ikke skaffe seg noen rett, eiendomsrett eller fordel til Kundens opplysninger og Keyforce skal ikke bruke Kundens opplysninger for noe annet formål enn det som er strengt nødvendig for å tilby Tjenester i henhold til denne Avtalen. 

16. Tvister 

Partenes rettigheter og plikter i henhold til denne Avtalen skal i sin helhet styres av norsk lov. Hvis det oppstår en tvist i forbindelse med tolkningen av denne Avtalen skal Partene søke å løse tvisten gjennom forhandlinger. Hvis tvisten ikke løses på denne måten skal den sendes til den ordinære domstolen i Oslo, Norge, som et eksklusivt Verneting. 

17. Hvem Kunden har inngått avtale med

Under finnes en tabell med detaljer over hvilken enhet i Keyforce Kunden inngår avtale med, og lovvalg og verneting for Avtalen.

Norway	Keyforce Norge AS	Karenslyst Allé 56 (HQ), 0277 Oslo	Norwegian	Oslo, Norway
Finland and Sweden	Keyforce Sverige AB	Lindhagensgatan, 94 112 18 Stockholm	Swedish	Stockholm, Sweden
Denmark	Keyforce Danmark Aps	Hovedvejen 3 1, 2600 Glostrup	Danish	Copenhagen, Denmark

DATABEHANDLERAVTALE (DPA)

Mellom Keyforce AS (“Databehandler”) og Kunden (“Behandlingsansvarlig”) 

Denne avtalen er gyldig fra 01.11.2023.

1. Formål og definisjoner 

Formålet med denne Databehandleravtalen er å regulere Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig, ved leveringen av Keyforce AS Programvare («Tjenesten») som beskrevet nærmere i Keyforce Master Subscription Agreement («MSA»). 

Databehandleravtalen regulerer Databehandlers rettigheter og forpliktelser for å sikre at all Behandling av Personopplysninger skjer i henhold til gjeldende lovgivning om behandling av personopplysninger. 

Behandling av Personopplysninger (som definert under) er underlagt krav og forpliktelser med hjemmel i lov. Når Behandlingsansvarlig er en virksomhet etablert i Det Europeiske Økonomiske Samarbeidsområdet (EØS), vil relevant lovgivning om behandling av personopplysninger være EU-forordning 2016/679 datert 27. april 2016, og all relevant nasjonal lovgivning. Partene er enige om å revidere denne databehandleravtalen i den grad det er nødvendig i henhold til obligatoriske nye krav som følge av EU-forordning 2016/679, revidert kommunikasjonsvernforordning («ePrivacy») og den norske implementeringen av disse. 

«Personopplysning» skal bety opplysninger og vurderinger som kan knyttes til en enkeltperson, som definert i til enhver tid gjeldende lovgivning og EU- forordning 2016/679. 

«Behandling» av Personopplysninger, skal bety enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, som definert i til enhver tid gjeldende lovgivning og EU- forordning 2016/679. 

«Tredjeland» skal bety land utenfor EU/EØS som ikke er ansett å sikre tilstrekkelig beskyttelsesnivå for Personopplysninger. ​

2. Behandlingsansvarliges plikter 

For å få tilgang til Tjenesten, må Behandlingsansvarlig gi visse opplysninger til Databehandler, inkludert riktig navn, kontaktopplysninger og e-postadresse til alle brukerne. Videre må brukerne av Tjenesten tillate Databehandler å lagre og hente informasjon ved bruk av «informasjonskapsler» som er nødvendig for å aktivere prosedyrer ved innlogging / utlogging som brukes ved Tjenesten, og for å sikre at uautoriserte personer ikke får tilgang til Tjenesten.  

Behandlingsansvarlig bekrefter og aksepterer at alle Personopplysninger som Behandlingsansvarlig laster opp i Tjenesten, for eksempel opplastede Personopplysninger relatert til Behandlingsansvarliges egne kunder, kan overføres til tredjeparter (underdatabehandler), basert i Det Europeiske Økonomiske Samarbeidsområdet (EØS), som vil tjene som vert av Tjenesten, inkludert levering av all maskinvare, infrastruktur, datalagring og kommunikasjonslinjer. Forpliktelsene til tredjeparten med hensyn til Personopplysninger fremgår av en separat databehandleravtale mellom Databehandler og tredjeparten og innenfor rammen av denne Databehandleravtalen. Alle opplysninger i tilknytning til Tjenesten er lagret på servere i Europa. 

Behandlingsansvarlig bekrefter at Behandlingsansvarlig: 

• Har tilstrekkelig hjemmelsgrunnlag for Behandling av Personopplysninger, 
• Har rett til å la Databehandler behandle Personopplysningene, 
• Har ansvaret for nøyaktigheten, integriteten, innholdet, pålitelighet og lovligheten av Personopplysningene, 
• Oppfyller gjeldende lovkrav om eventuell melding og konsesjon til aktuelle tilsynsmyndigheter, 
• Har informert den som personopplysningene gjelder i tråd med gjeldende lovgivning 
  
  

Behandlingsansvarlig skal: 

• Svare på henvendelser fra de registrerte om Behandling av Personopplysninger i henhold til denne Databehandleravtalen, 
• Vurdere nødvendigheten av spesifikke tiltak som angitt i denne Databehandleravtalens pkt. 3.3.2 og 3.3.4, og bestille slike tiltak fra Databehandler. 

Behandlingsansvarlig skal implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre og demonstrere overholdelse av EU-forordning 2016/679 fra det tidspunkt den trer i kraft i Norge. 

Behandlingsansvarlig har plikt til å melde avvik til aktuelle tilsynsmyndigheter og eventuelt til de registrerte uten ugrunnet opphold i henhold til gjeldende lovgivning. 

3. Databehandlers forpliktelser 

3.1 Overholdelse av gjeldende rett 

Databehandler skal overholde alle bestemmelser for beskyttelse av Personopplysninger fastsatt i denne Databehandleravtalen, og i gjeldende personvernlovgivning som er relevant for Behandling av Personopplysninger. Databehandler skal bistå Behandlingssansvarlig i å sikre og dokumentere at Behandlingsansvarlig overholder sine forpliktelser under gjeldende lovgivning om Behandling av Personopplysninger.  
Databehandler skal overholde instrukser og rutiner gitt av Behandlingsansvarlig med hensyn til Behandling av Personopplysninger. 

3.2 Restriksjoner for behandling 

Databehandler skal bare behandle Personopplysninger på, og i samsvar med instruks fra Behandlingsansvarlig. Databehandler skal ikke uten forutgående skriftlig avtale med Behandlingsansvarlig eller skriftlige instrukser fra Behandlingsansvarlig behandle Personopplysninger utover det som er nødvendig for å overholde forpliktelser overfor Behandlingsansvarlig etter Avtalen. 

3.3 Informasjonssikkerhet 

3.3.1 Plikt til å sikre informasjonssikkerhet 

Databehandler skal ved planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet, og tilgjengelighet i forbindelse med Behandling av Personopplysninger i samsvar med bestemmelser om informasjonssikkerhet i gjeldende lovgivning om Behandling av Personopplysninger.  
Tiltakene og dokumentene om internkontroll skal på forespørsel gjøres tilgjengelig for behandlingsansvarlig. 

3.3.2 Vurdering av tiltak 

I vurderingen av hvilke tekniske og organisatoriske tiltak som skal implementeres, skal Databehandler i samråd med Behandlingsansvarlig ta i betraktning: 

• Beste praksis, 
• Kostnaden ved implementering, 
• Karakteren og omfanget av behandlingen, 
• Konteksten og formålet med behandlingen, 
• Alvorlighet av den risiko Behandlingen av Personopplysninger medfører for den registrertes rettigheter og friheter. 
  ​

Databehandler skal i samråd med Behandlingsansvarlig vurdere: 

• Implementering av pseudonymisering og kryptering av Personopplysninger 
• Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet og robustheten til systemer for behandling og tjenester 
• Evnen til å gjenopprette tilgjengelighet og tilgang til Personopplysninger til rett tid i tilfelle fysiske eller tekniske hendelser 
• En prosess for jevnlig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for sikkerheten til Behandlingen 

3.3.3 Henvendelser fra de registrerte 

Tatt i betraktning arten av Behandlingen, skal Databehandler implementere tekniske og organisatoriske tiltak for bistå Behandlingsansvarlig med å svare på henvendelser angående utøvelse av de registrertes rettigheter. 

3.3.4 Bistand til Behandlingsansvarlig 

Databehandler skal gi bistand slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter gjeldende lov og forskrift, herunder bistå Behandlingsansvarlig med å: 

• Implementere tekniske og organisatoriske tiltak som nevnt over, 
• Overholde varslingsplikt til tilsynsmyndigheter og registrerte personer som følge av avvik, 
• Utføre vurdering av personvernkonsekvenser («data privacy impact assessments»), 
• Utføre forutgående drøftelser med tilsynsmyndigheter når en vurdering av personvernkonsekvenser gjør det nødvendig 
• Varsle Behandlingsansvarlig dersom Databehandler mener at en instruks fra Behandlingsansvarlig er i strid med gjeldende personvernregelverk. 

Bistand som nevnt over, skal utføres i den utstrekning det er nødvendig ut fra Behandlingsansvarliges behov, karakteren av behandlingen og informasjonen tilgjengelig for Databehandler. 

3.3.5 Kompensasjon 

Bistand fra Databehandler som fastsatt i denne Databehandleravtalen, samt bistand i forbindelse med særskilte rutiner og instrukser pålagt av Behandlingsansvarlig, skal kompenseres av Behandlingsansvarlig i samsvar med Databehandlers vanlige betingelser og timesatser. 

3.4 Avvik og avviksmeldinger 

Enhver bruk av informasjonssystemene og Personopplysninger i strid med etablerte rutiner, instrukser fra Behandlingsansvarlig eller gjeldende lovgivning om behandling av Personopplysninger, så vel som sikkerhetsbrudd, skal behandles som avvik. 

Databehandler skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket, og hindre gjentagelse. 

Databehandler skal umiddelbart varsle Behandlingsansvarlig om ethvert brudd på denne Databehandleravtalen eller utilsiktet, ulovlig eller uautorisert tilgang, bruk eller utlevering av Personopplysninger, eller at Personopplysninger kan ha blitt kompromittert eller brudd på Personopplysningenes integritet. Databehandler skal gi Behandlingsansvarlig all informasjon nødvendig for å sette Behandlingsansvarlig i stand til å overholde gjeldende lovgivning om behandling av personopplysninger og sette Behandlingsansvarlig i stand til å besvare henvendelser fra datatilsynsmyndigheter. Det er Behandlingsansvarlig sitt ansvar å melde avvik til Datatilsynet i henhold til gjeldende lovgivning. 

3.5 Konfidensialitet 

Databehandler har taushetsplikt om Personopplysninger og annen konfidensiell informasjon. Databehandler skal sikre at alle medlemmer som utfører arbeid for Databehandler, enten ansatte eller innleide, som har tilgang til eller er involvert i Behandling av Personopplysninger etter MSA (i) er underlagt taushetsplikt og (ii) er informert om og overholder forpliktelsene etter denne Databehandleravtalen. Taushetsplikten gjelder også etter opphør av MSA eller denne Databehandleravtalen. 

3.6 Sikkerhetsrevisjoner 

Databehandler skal jevnlig foreta sikkerhetsrevisjoner for systemer og lignende som er relevant for Behandlingen av Personopplysninger som omfattes av denne Databehandleravtalen. Behandlingsansvarlig skal ha tilgang til rapporter som dokumenterer sikkerhetsrevisjoner. 

Behandlingsansvarlig har rett til å kreve sikkerhetsrevisjon utført av uavhengig tredjepart valgt av Databehandler. Vedkommende tredjepart vil utarbeide en rapport som vil bli overlevert Behandlingsansvarlig på forespørsel. Behandlingsansvarlig er innforstått med at Databehandler kan beregne seg en særskilt godtgjørelse for gjennomføringen av revisjonen. 

3.7 Bruk av underleverandør (underdatabehandler) 

Databehandler har rett til å benytte underleverandører og Behandlingsansvarlig aksepterer bruk av underleverandører. En liste med forhåndsgodkjente underleverandører er tilgjengelig i Keyforce Trust Center. Databehandler skal, i skriftlig avtale med enhver underleverandør, sikre at Behandling av Personopplysninger utført av underleverandører skal være underlagt de samme forpliktelser og begrensninger som de pålagt Databehandler i henhold til denne Databehandleravtalen. 

Dersom Databehandler planlegger å skifte ut eller benytte ny underleverandør, skal Databehandler skriftlig varsle Behandlingsansvarlig 4 måneder før ny underleverandør starter Behandling av Personopplysninger, og Behandlingsansvarlig kan innen 1 måned varsle om at han motsetter seg endringen. Dersom Behandlingsansvarlig motsetter seg endringen, kan Behandlingsansvarlig si opp avtalen med 3 måneders oppsigelsestid. Dersom Behandlingsansvarlig ikke sier opp avtalen, anses den nye underleverandøren akseptert. 

3.8 Overføring av personopplysninger til Tredjeland 

Dersom Databehandler benytter underleverandører utenfor EU/EØS for Behandling av Personopplysninger, må slik Behandling skje i henhold til EUs Privacy Shield Framework, EUs standardavtaler for overføring til tredjeland eller annet akseptert og spesifikt angitt grunnlag for overføring til tredjeland. For å unngå tvil, gjelder det samme dersom opplysningene lagres i EU/EØS, men kan aksesseres fra lokasjoner utenfor EU/EØS. 

Dersom Behandlingsansvarlig godkjenner slik overføring av Personopplysninger, skal Databehandler samarbeide med Behandlingsansvarlig om å sikre lovligheten av overføringene. 

4. Ansvar, brudd 

I tilfelle brudd på denne Databehandleravtalen, eller forpliktelser etter gjeldende lovgivning om Behandling av Personopplysninger, skal de relevante bestemmelser om brudd i MSA komme til anvendelse. 

Krav fra en part som følge av den andre partens manglende oppfyllelse etter Databehandleravtalen skal være omfattet av de samme ansvarsbegrensninger som følger av MSA. Med hensyn til om begrensningen i MSA er nådd, skal krav under denne Databehandleravtalen og MSA sees i sammenheng, og begrensningen i MSA skal sees på som en samlet begrensning. 

Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold dersom Databehandler ikke vil være, eller har grunn til å tro at den ikke vil være, i stand til å overholde sine forpliktelser etter denne Databehandleravtalen. 

5. Varighet og avslutning av Databehandleravtalen, endringer 

Denne Databehandleravtalen skal gjelde fra den dato den er signert av begge parter og inntil Databehandlers plikt til ytelse av tjenester i henhold til MSA opphører, med unntak av de bestemmelser i MSA og Databehandleravtalen som fortsetter å løpe etter avslutning. 

Ved avslutning av denne Databehandleravtalen skal Personopplysninger/opplysninger returneres i standardisert format og medium sammen med nødvendige instruksjoner for å legge til rette for Behandlingsansvarliges videre bruk av Personopplysningene/ opplysningene. Databehandler skal først returnere og deretter slette alle Personopplysninger og andre opplysninger. Databehandler (og dennes underleverandører) skal umiddelbart stanse Behandling av Personopplysningene fra dagen fastsatt av Behandlingsansvarlig. 

Som et alternativ til å returnere Personopplysninger (eller andre data) kan Behandlingsansvarlig, etter egen vurdering, skriftlig instruere Databehandler om at alt eller deler av Personopplysningene (eller andre data) skal slettes av Databehandler, med mindre preseptorisk lovgivning forhindrer Databehandler fra slik sletting. 

Databehandler har ikke rett til å beholde kopi av noen opplysninger gitt av Behandlingsansvarlig i forbindelse med MSA eller denne Databehandleravtalen i noe format, og all fysisk og logisk tilgang til slike Personopplysninger eller data skal slettes. ​

Databehandler skal gi Behandlingsansvarlig en skriftlig erklæring, hvoretter Databehandler garanterer at alle Personopplysninger eller andre opplysninger nevnt ovenfor har blitt returnert eller slettet i henhold til Behandlingsansvarliges instrukser, og at Databehandler ikke har beholdt noen kopi, utskrift eller beholdt dataene i annet medium. 

Forpliktelsene etter pkt. 3.5 og 4 skal fortsette å gjelde etter avslutning. Videre skal bestemmelsene i Databehandleravtalen gjelde fullt ut for eventuelle Personopplysninger beholdt av Databehandler i strid med dette pkt. 5. 
Partene skal revidere denne Databehandleravtalen i tilfelle relevante endringer i gjeldende lovgivning. 

6. Tvister og jurisdiksjon  

Denne Databehandleravtalen skal være underlagt gjeldende rett i henhold til den enheten i Keyforce kunden har kontakt med: 

Norway	Keyforce Norge AS	Karenslyst Allé 56 (HQ), 0277 Oslo	Norwegian	Oslo, Norway
Finland and Sweden	Keyforce Sverige AB	Lindhagensgatan, 94 112 18 Stockholm	Swedish	Stockholm, Sweden
Denmark	Keyforce Danmark Aps	Hovedvejen 3 1, 2600 Glostrup	Danish	Copenhagen, Denmark