Retningslinjer for databehandleravtaler

Transkript

1 Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER SENTRALE BEGREPER HVORFOR ER DET VIKTIG Å FÅ AVKLART BEHANDLINGSANSVAR? NÅR FORELIGGER DET EN DATABEHANDLERRELASJON? KRAV TIL DATABEHANDLERAVTALE GENERELT FØR AVTALEINNGÅELSE ETTER AVTALE INNGÅELSE OPPFØLGING OG KONTROLL BRUK AV DATABEHANDLER I UTLANDET DATABEHANDLERE INNENFOR EU/EØS DATABEHANDLER I ANDRE LAND SOM ER GODKJENT AV EU-KOMMISJONEN DATABEHANDLER I TREDJELAND... 7 Fokusområde Personvern Side 1

2 1. HENSIKT I endel tilfeller velger NAV å sette bort til andre å behandle personopplysninger på vegne av seg. Den som utfører behandlingen av personopplysningene betegnes da som databehandler. NAV vil være behandlingsansvarlig for oppdraget eller bestillingen. Behandling av personopplysninger av en databehandler krever etter personopplysningsloven at det må inngås en skriftlig avtale, dvs. en databehandleravtale. Hensikten med denne retningslinjen er å gi veiledning for når NAV som behandlingsansvarlig må inngå databehandleravtaler, innholdet i avtalene og hvordan følge opp avtalene. 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER 2.1 Sentrale begreper For å forstå hva en databehandleravtale er og hva den skal regulere, så er det viktig å kjenne til noen sentrale begreper som følger av personopplysningsloven: Behandlingsansvarlig NAV er etter personopplysningsloven «behandlingsansvarlig» for all behandling av personopplysninger som skjer innenfor etatens lovpålagte virkeområde som forvaltningsvirksomhet og også som arbeidsgiver for egne ansatte. Det er NAV som har bestemmelsesretten over opplysningene, som bestemmer hva som er formålet med bruk av opplysningene og hvilke hjelpemidler som skal brukes for å oppnå formålet. NAV er ansvarlig for etterlevelse av lovpålagte krav til taushetsplikt, at behandling av personopplysninger er lovlig, at de behandles på en sikker og forsvarlig måte og at den enkeltes personvernrettigheter ivaretas. Med «behandling av personopplysninger» menes alle former for håndtering av personopplysninger uansett om det foregår manuelt eller elektronisk. Det omfatter alt fra innsamling, registrering, systematisering, kopiering, lagring, bruk, sammenstilling, søk, sletting, utlevering av opplysninger mm. Databehandler Databehandler kan være en person, privat eller offentlig virksomhet utenfor NAVs organisasjon. Selv om NAV setter bort deler av behandling av personopplysninger til andre («outsourcing»), så vil NAV fortsatt være behandlingsansvarlig for all behandling av personopplysninger som NAV råder over i forbindelse med sin lovbestemte virksomhet. Leverandøren vil være en «databehandler» for NAV. Databehandler er etter personopplysningslovens definisjon den som behandler opplysninger på vegne av den behandlingsansvarlige. Databehandleravtaler Databehandlers rett til å behandle personopplysninger skal reguleres i en skriftlig databehandleravtale. Avtalen skal regulere ansvarsforholdet mellom behandlingsansvarlig og databehandler, om hvordan opplysningene skal behandles og sikres. Fokusområde Personvern Side 2

3 Databehandler kan kun bruke opplysningene til det formål og med det nivå på informasjonssikkerhet som avtalt i avtalen. Med «informasjonssikkerhet» mener vi krav til en rekke fysiske, systemtekniske og organisatoriske sikkerhetstiltak, som skal sikre forsvarlig behandling av personopplysningene (med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av opplysningene). 2.2 Hvorfor er det viktig å få avklart behandlingsansvar? Når NAV behandler personopplysninger, så er det viktig å få avklart hva som er NAVs ansvar. Begrunnelsen for det er at: det er behandlingsansvarlig som er ansvarlig for etterlevelse av personopplysningslovens krav til ivaretakelse av personvern og informasjonssikkerhet det er viktig for etatens brukere å vite hvem som er ansvarlig for behandling av personopplysninger om seg selv det er overfor behandlingsansvarlig at bruker kan utøve sine personvernrettigheter etter personopplysningsloven, som rett til innsyn, informasjon og retten til å få uriktige personopplysninger endret eller slettet Selv om NAV setter oppgaveløsningen bort til en databehandler, så er det NAV som behandlingsansvarlig som fortsatt er ansvarlig for at personopplysningene behandles i samsvar med gjeldende regelverk og behandlingsgrunnlag. Personopplysningsloven gir en databehandler lite selvstendig ansvar utover en plikt til å sørge for tilfredsstillende informasjonssikkerhet og plikt til å ha en databehandleravtale som rettslig grunnlag for sin behandling. Databehandlers ansvar og plikter skal reguleres i databehandleravtalen. Databehandler kan ikke behandle personopplysningene på andre måter enn det som følger av avtalen og kan heller ikke bruke opplysningene til egne formål. Databehandler kan heller ikke uten videre påbegynne sin behandling av personopplysninger på vegne av NAV, uten at skriftlig avtale foreligger. 2.3 Når foreligger det en databehandlerrelasjon? Dersom behandling av personopplysninger skjer i samarbeid med flere virksomheter, så er det viktig å få avklart behandlingsansvar og om noen av disse er databehandlere. Bruk av databehandler er først og fremst aktuelt der det foreligger et oppdragsforhold eller bestilling av tjenester, som innebærer behandling av personopplysninger. Skal leverandøren ikke ha tilgang til og eller bruke personopplysninger, så er det ingen databehandlerrelasjon. Typiske eksempler på databehandlere er bruk av eksterne ikt-leverandører til utvikling og drift av etatens ikt-systemer, leverandører av skytjenester, analyseselskaper som gjennomfører brukerundersøkelser, utredninger og evalueringer for etaten, translatører til oversettelse av saksdokumenter, bruk av vaktselskaper som skal lagre video- og kameraopptak av etatens lokaler hvor ansatte og publikum oppholder seg. Dette er virksomheter som har spisskompetanse, kapasitet og ressurser på sitt område og som det ofte vil være mer praktisk og økonomisk utfører oppgavene enn behandlingsansvarlig. Omfang på oppgavene eller tjenestene kan variere fra stort omfang og til enkeltstående oppdrag. Fokusområde Personvern Side 3

4 Kriterier for plassering av behandlingsansvar fremgår av personopplysningslovens definisjon i 2 første ledd nr. 4 og lovens forarbeider. Sammenfattet er de viktigste kriteriene: o Hvem bestemmer formålet? o Hvem bestemmer hjelpemidlene? o Hvem har nærhet/daglig befatning med personopplysningene? o Hvem bestiller og finansierer oppdraget? o Hva er rettslig grunnlag (behandlingsgrunnlag)? Det avgjørende er først og fremst hvem som har både det juridiske og faktiske «eierskapet» til opplysningene (dvs. hvem er det som bestemmer formålet og hvilke hjelpemidler som skal brukes?). Hvis det er oppgaver som NAV er blitt pålagt gjennom lov og som faller inn under NAVs definerte ansvarsområde, så vil NAV være behandlingsansvarlig. En databehandler kjennetegnes ved å behandle personopplysninger på vegne av (etter bestilling, oppdrag) fra behandlingsansvarlig. Databehandler operasjonaliserer oppdraget innenfor de rammer som behandlingsansvarlig har myndighet til og har angitt i avtalen. Ofte er det da også databehandler som har den daglige befatningen med opplysningene så lenge oppdraget varer, ellers er det behandlingsansvarlig. En databehandleravtale vil gi leverandøren et rettslig grunnlag for å behandle personopplysningene. 3. KRAV TIL DATABEHANDLERAVTALE 3.1 Generelt Selv om et oppdrag eller en tjeneste settes ut til eksterne, så er det fortsatt NAV som skal ha bestemmelsesretten over personopplysningene og som gjennom databehandleravtalen skal sette krav til hvordan opplysningene skal behandles og sikres. Avtalen skal utformes i henhold til NAVs mal for databehandleravtale der alle innholdselementer er beskrevet, se operativ retningslinje «Databehandleravtale MAL v1.1». Malen er veiledende og må tilpasses det konkrete oppdraget eller tjenesten og aktuelle krav. For bruk av tiltaksarrangører ved arbeidsmarkedstiltak vil det bli utarbeidet egen mal for databehandleravtaler. Gjelder det behandling av sensitive personopplysninger (som for eksempel opplysninger om en persons helseforhold, diagnoseopplysninger, etnisitet, religiøs oppfatning, straffbare handlinger, medlemskap i fagforening m. m, jf. personopplysningsloven 2 nr. 8), så vil det kreve en mer detaljert avtaleregulering enn behandling av mer ordinære personopplysninger. Avtalen kan være en frittstående avtale eller integrert som en del til annet avtaleverk som NAV har med leverandøren. Fokusområde Personvern Side 4

5 Avtalepart på vegne av NAV kan være utøvende behandlingsansvarlig som representerer behandlingsansvarlig. For eksempel den enkelte fagdirektør i direktoratet eller linjeleder som er gitt myndighet etter fullmakt. Avtalen skal journalføres og arkiveres i Administrativt arkiv. 3.2 Før avtaleinngåelse Det skal i anskaffelsesprosesser tydeliggjøres behandlingsansvar, leverandørens ansvar og krav til etterlevelse av personopplysningsloven med forskrift. Det skal stilles følgende krav: 1. Krav til at leverandøren ivaretar de krav som følger av personopplysningsloven med forskrift (personopplysningsforskriften). 2. Krav til at leverandøren pålegges taushetsplikt og må undertegne taushetserklæring for medarbeidere som skal behandle informasjon på vegne av NAV. 3. Krav til at leverandøren har et internkontrollsystem for informasjonssikkerhet som sikrer: a. at leverandøren plikter å gjøre tiltak for å sikre konfidensialitet integritet og tilgjengelighet til informasjonen som behandles på vegne av NAV b. at leverandøren tilfredsstiller NAVs sikkerhetskrav for personvern og informasjonssikkerhet c. at NAV kan ha innsyn i dokumentasjon på hvordan internkontrollsystemet for informasjonssikkerhet er bygget opp og dokumentasjon på gjennomføring av iverksatte tiltak 4. Krav til at det må inngås en skriftlig databehandleravtale med NAV som blir en del av det øvrige avtaleverket med leverandøren. 5. Krav til at databehandler må oversende dokumentasjon om sine sikkerhetsmål, sikkerhetsstrategi og ansvar for informasjonssikkerheten ved avtaleinngåelse. 6. Krav til rapportering. NAV skal forsikre seg om at databehandleren har tilstrekkelig sikkerhetsnivå. Etter at leverandør er valgt og godkjent, skal det utformes en skriftlig databehandleravtale. Databehandler skal sende oversende dokumentasjon til NAV om sine mål og strategier for informasjonssikkerhet. Det skal skje ved første gangs avtaleinngåelse og senere når avtalen blir revidert. En databehandleravtale skal foreligge i undertegnet stand før oppdraget kan påbegynnes. 3.3 Etter avtale inngåelse oppfølging og kontroll NAVs rett til å be om innsyn, krav til rapportering og gjennomføre revisjoner og kontroller skal være regulert i avtalen. NAV skal på et hvert tidspunkt kunne be om innsyn i databehandlers prosedyrer og praksis for informasjonssikkerhet for å sikre at den er tilfredsstillende etter de krav som er stilt. NAV har rett til som behandlingsansvarlig å kunne kontrollere (revisjon) at avtalekravene etterleves og Fokusområde Personvern Side 5

6 kan kreve tilgang til og innsyn i leverandørens løsninger for hvordan personopplysningene behandles og sikres. Revisjon kan omfatte gjennomgang av rutiner, stikkprøvekontroller, stedlig kontroll osv. Leverandøren skal kunne dokumentere sikkerhetsdokumentasjon hvis NAV etterspør, og skal umiddelbart rapportere sikkerhetsbrudd og avvik til NAV. NAV skal ha rutiner for å følge opp og kontrollere at en leverandør følger de krav som er stilt. Sikkerhetsseksjonen i Arbeids- og velferdsdirektoratet kan på vegne av utøvende behandlingsansvarlig gjennomføre kontrollbesøk eller be om innsyn hos tiltaksarrangør. Det kan også innhentes revisjonsrapport fra en uavhengig tredjepart. 4. BRUK AV DATABEHANDLER I UTLANDET Hvis det er aktuelt å benytte en databehandler eller en underleverandør for databehandler som er etablert i utlandet, så må det reguleres i databehandleravtalen. EUs standardkontrakt kan brukes som standardmal for inngåelse av databehandleravtaler med utenlandske leverandører. Ved signering av kontrakten forplikter leverandøren seg til å behandle opplysningene i samsvar med de krav som gjelder innenfor EU/EØS området. Disse malene er på dansk og engelsk og er tilgjengelig på Datatilsynets internettsider (se skjema maler/kontraktsvilkaar overforing ENG.pdf). 4.1 Databehandlere innenfor EU/EØS Stater som har gjennomført direktiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet) oppfyller kravet til forsvarlig behandling. For disse gjelder de samme vurderinger som skal gjøres hvis databehandler var etablert i Norge. Det er en grunnleggende forutsetning at personopplysningslovens krav til behandling av personopplysninger skal oppfylles. Det skal gjøres en risikovurdering og ut fra den settes sikkerhetskrav til leverandør. Det skal i denne forbindelse foretas en vurdering om hvorvidt det er forhold som tilsier at personopplysningen ikke skulle kunne overføres innen EU/EØS, f.eks. bør det vurderes om informasjon om brukere med adressesperre kode 6/ kode 7 kan overføres. Bruk av databehandler i utlandet kan medføre at etatens melding til Datatilsynet for det aktuelle behandlingsområdet, må endres. Se operativ retningslinje for «Melde- og konsesjonsplikt for etatens behandling av personopplysninger v.1.2». Fokusområde Personvern Side 6

7 4.2 Databehandler i andre land som er godkjent av EU-Kommisjonen EU-kommisjonen har med hjemmel i personverndirektivet godkjent ved beslutning en rekke andre stater utenfor EU/EØS for å ha tilfredsstillende beskyttelsesnivå (hvem disse er, se kommisjonens hjemmeside: ec.europa.eu). Det er ikke tilstrekkelig at landene er godkjent av kommisjonen. Det må gjøres de samme risikovurderinger og settes de samme krav til personvern og informasjonssikkerhet som om leverandøren var plassert i Norge eller innenfor EU/EØS. Som følge av EU-domstolens avgjørelse av er rammeverket for Safe-Harbor (godkjent av EU i 2000) kjent ugyldig. Det innebærer at amerikanske selskaper som var sertifisert etter Safe Harbor prinsippene ikke lenger kan benytte dette som grunnlag, og må behandles etter de kriterier som beskrevet nedenfor i punkt Databehandler i tredjeland For leverandører i land som ikke har gjennomført direktiv 95/46/EF og som heller ikke er godkjent som beskrevet i punkt 4.2, må det vurderes om landet ivaretar de kravene som stilles til forsvarlig behandling. I vurderingen av hva som er forsvarlig behandling bør det legges vekt på: opplysningens art og omfang formålet til den planlagte behandlingen og varighet av behandlingen hva finnes av rettsregler på området, regler for god forvaltningsskikk, bransjenormer og sikkerhetstiltak som kan ivareta personvernet garantier for ivaretakelse av brukernes rettigheter Krav til bruk av EUs standardkontrakt og varslingsplikt til Datatilsynet Det er et vilkår at EUs standardkontrakt for overføring til databehandler skal brukes, se punkt 4 innledning. NAV, som behandlingsansvarlig, har en varslingsplikt til Datatilsynet. Plikten innebærer at NAV må sende en kopi av den signerte overføringsavtalen til Datatilsynet. Så snart avtalen er undertegnet og sendt inn, kan behandlingen av personopplysninger påbegynnes. I eventuell melding til Datatilsynet må det opplyses om at det overføres personopplysninger til databehandlere i stater utenfor EU/EØS. Se operativ retningslinje for «Melde- og konsesjonsplikt for etatens behandling av personopplysninger v.1.2». Fokusområde Personvern Side 7