DATABEHANDLERAVTALE. mellom. [kunde] ("Behandlingsansvarlig") LINK Mobility ("LINK")

Transkript

1 DATABEHANDLERAVTALE mellom [kunde] ("Behandlingsansvarlig") og LINK Mobility ("LINK") Kontaktinformasjon Behandlingsansvarlig Navn: Tittel: Adresse: Telefon: E-post: Kontaktinformasjon LINK Navn: Tittel: Adresse: Telefon: E-post:

2 1 INNLEDNING Dette Bilaget angir hovedprinsippene for behandling av Personopplysninger under, og utgjør en integrert del av, den eksisterende tjenesteavtalen mellom partene ("Avtalen"). Avtaledokumentet utgjør Databehandleravtalen mellom partene, og vil i det følgende omtales som "Databehandleravtalen". 2 HOVEDPRINSIPPER FOR BEHANDLING AV PERSONOPPLYSNINGER 2.1 Beskyttelse av Personopplysninger LINK tar beskyttelse og sikkerhet for Personopplysninger alvorlig, og vil behandle slike opplysninger i samsvar med gjeldende Personvernlovgivning og Avtalen. For å kunne yte tjenesten under Avtalen, vil LINK behandle Personopplysninger om brukere og andre som har tilgang til tjenesten. LINK kan utlevere Personopplysninger i den grad Avtalen åpner for det. 2.2 Personvernerklæring For mer informasjon om hvordan LINK vil behandle Personopplysninger i relasjon til Tjenesten, henvises det til LINKs personvernerklæring, som er tilgjengelig her: 3 FORMÅLET MED DATABEHANDLERAVTALEN Formålet med Databehandleravtalen er å regulere rettigheter og plikter i henhold til gjeldende Personvernlovgivning i forbindelse med LINKs behandling av Personopplysninger på vegne av Behandlingsansvarlig. Med "Personvernlovgivning" siktes det til EU-forordning 2016/679 ("GDPR") når denne trer i kraft, og til enhver tid gjeldende nasjonal lovgivning relatert til personvern i det land Behandlingsansvarlig er etablert, herunder lovgivning som implementerer eller supplerer GDPR. Med "Personopplysninger" menes enhver opplysning om en identifisert eller identifiserbar fysisk person (de "Registrerte"). Databehandleravtalen skal sikre at Personopplysninger behandles i samsvar med Personvernlovgivning og ikke benyttes på en lovstridig måte eller at uautoriserte parter får tilgang til Personopplysningene. 4 OMFANGET AV BEHANDLINGEN 4.1 Generelt Behandlingsansvarlig bestemmer formålet med behandlingen og hvilke hjelpemidler som skal benyttes. LINK, dennes Underleverandører og andre som på vegne av LINK utfører oppdrag og har tilgang til Personopplysningene, skal behandle Personopplysningene kun på vegne av Behandlingsansvarlig og i henhold til Avtalen og Behandlingsansvarliges skriftlige instrukser, samt i henhold til denne Databehandleravtalen, med mindre noe annet fremgår i gjeldende lovgivning. 2/11

3 LINK skal omgående underrette Behandlingsansvarlig dersom LINK mener at en instruks er i strid med Personvernlovgivningen. 4.2 Omfanget av behandlingen Databehandleravtalen gjelder LINKs behandling av Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med LINKs leveranse av tjenesten, som nærmere beskrevet i Bilag Formålet med behandlingen Karakteren og formålet med behandlingen er knyttet til levering av tjenesten, som nærmere beskrevet i Bilag Kategorier av Personopplysninger og Registrerte Behandlingen innebærer behandling av Personopplysninger om Behandlingsansvarliges sluttbrukere, kunder eller ansatte, avhengig av den Behandlingsansvarliges bruk av tjenesten. Behandlingen omfatter følgende kategorier av Personopplysninger, avhengig av den Behandlingsansvarliges konkrete bruk av tjenesten: Alminnelige Personopplysninger, herunder navn, kontaktopplysninger slik som e-postadresse, telefonnummer etc. Spesielle kategorier av Personopplysninger, herunder opplysninger som avslører rasemessig eller etnisk opprinnelse, politisk oppfatning, religiøs- eller filosofisk overbevisning, fagforeningsmedlemskap og helseopplysninger. Lokasjonsdata, herunder GPS- og Wifi-lokasjonsdata, samt lokasjonsdata hentet fra LINKs nettverk (som ikke er trafikkdata, som definert under). Trafikkdata, herunder Personopplysninger som behandles i relasjon til formidling av kommunikasjon på et elektronisk kommunikasjonsnettverk eller fakturering av slike tjenester. Opplysninger relatert til innholdet i kommunikasjon, slik som e-post, telefonsvar, SMS/MMS, nettleserdata etc. 5 BEHANDLINGSANSVARLIGES PLIKTER Behandlingsansvarlig innestår for at Personopplysningene behandles for legitime og objektive formål, samt at LINK ikke behandler Personopplysninger i større omfang enn det som er nødvendig for å oppnå formålet. Behandlingsansvarlig er ansvarlig for at det foreligger et gyldig rettslig grunnlag for behandlingen på tidspunktet Personopplysningene overføres til LINK, herunder at ethvert samtykke er informert, og avgitt eksplisitt, utvetydig og frivillig. På forespørsel fra LINK skal Behandlingsansvarlig skriftlig gjøre rede for og/eller dokumentere det rettslige grunnlaget for behandlingen. Behandlingsansvarlig innestår for at de Registrerte har mottatt tilstrekkelig informasjon om behandlingen av deres Personopplysninger. Instruksjoner for behandling av Personopplysninger under denne Databehandleravtalen skal som hovedregel gis til LINK. Dersom Behandlingsansvarlig instruerer en Underleverandør oppnevnt i tråd med punkt 12 direkte, skal Behandlingsansvarlig umiddelbart informere LINK om dette. LINK kan ikke holdes ansvarlig for behandling utført av en Underleverandør som et resultat av instrukser mottatt direkte fra Behandlingsansvarlig, og som medfører et brudd på denne Databehandleravtalen, Avtalen eller Personvernlovgivning. 3/11

4 6 TAUSHETSPLIKT LINK, dennes Underleverandører og andre som på vegne av LINK utfører oppdrag og har tilgang til Personopplysningene, er underlagt taushetsplikt og skal etterleve taushetsplikten i forbindelse med behandling av Personopplysninger og sikkerhetsdokumentasjon i henhold til gjeldende Personvernlovgivning. LINK har ansvaret for at Underleverandører og andre som opptrer på vegne av LINK er underlagt slik taushetsplikt. Behandlingsansvarlig er underlagt taushetsplikt når det gjelder dokumentasjon og informasjon mottatt av LINK knyttet til LINKs og dennes Underleverandørers gjennomføring av tekniske og organisatoriske sikkerhetstiltak, og informasjon som LINK ellers ønsker å bevare som konfidensiell. Behandlingsansvarlig kan imidlertid alltid dele slik informasjon med relevante tilsynsmyndigheter, såfremt dette er nødvendig for å overholde den Behandlingsansvarliges forpliktelser etter Personvernlovgivning eller andre lovpålagte plikter. Taushetsplikten gjelder også etter Databehandleravtalens opphør. 7 SIKKERHET Sikkerhetskravene som gjelder for LINKs behandling av Personopplysninger, er regulert i Bilag 1 til denne Databehandleravtalen. 8 TILGANG TIL PERSONOPPLYSNINGER OG OPPFYLLELSE AV DE REGISTRERTES RETTIGHETER Med mindre annet er avtalt eller følger av gjeldende lovgivning, skal Behandlingsansvarlig ha rett til å kreve tilgang til Personopplysninger som behandles av LINK på vegne av Behandlingsansvarlig. Dersom LINK eller Underleverandør mottar en forespørsel fra en Registrert om behandlingen av Personopplysninger, skal LINK videresende forespørselen til Behandlingsansvarlig, med mindre LINK etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen. LINK skal bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som de Registrerte inngir for å utøve sine rettigheter fastsatt i Personvernlovgivningen, herunder retten til (i) innsyn, (ii) korrigering og (iii) sletting, (iv) begrensning eller å motsette seg en behandling, samt (v) til å få utlevert egne Personopplysninger i et strukturert, alminnelig anvendt og maskinleselig format (dataportabilitet). LINK skal kompenseres for slik bistand i tråd med LINKs gjeldende priser, med mindre noe annet er avtalt. 9 ANNEN BISTAND TIL BEHANDLINGSANSVARLIG Dersom LINK eller en Underleverandør mottar en forespørsel fra relevant tilsynsmyndighet for innsyn i eller informasjon om registrerte Personopplysninger eller behandlingsaktiviteter under denne Databehandleravtalen, skal LINK varsle Behandlingsansvarlig om forespørselen, med mindre LINK etter gjeldende lovgivning eller i tråd med Behandlingsansvarliges instrukser selv er berettiget til å håndtere forespørselen. Dersom Behandlingsansvarlig er forpliktet til å gjennomføre en vurdering av personvernkonsekvenser og/eller gjennomføre forhåndsdrøftelser med relevant tilsynsmyndighet i forbindelse med behandlingen av Personopplysninger under denne Databehandleravtalen, skal LINK bistå Behandlingsansvarlig. Behandlingsansvarlig skal dekke kostnader påført LINK som følge av slik bistand. 4/11

5 10 MELDING OM SIKKERHETSBRUDD LINK skal underrette Behandlingsansvarlig uten ugrunnet opphold etter å ha fått kjennskap til et brudd på sikkerheten ved behandlingen av Personopplysninger ("Sikkerhetsbrudd"). Behandlingsansvarlig er ansvarlig for å melde Sikkerhetsbrudd til relevant tilsynsmyndighet. Underretningen til Behandlingsansvarlig skal som et minimum beskrive (i) arten av Sikkerhetsbruddet, herunder, når det er mulig, kategoriene av og omtrentlig antall Registrerte og Personopplysninger som er berørt, (ii) de sannsynlige konsekvensene av Sikkerhetsbruddet, (iii) de tiltak som LINK har truffet eller foreslår å treffe for å håndtere Sikkerhetsbruddet, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av Sikkerhetsbruddet. Dersom Behandlingsansvarlig er forpliktet til å underrette de Registrerte om Sikkerhetsbrudd, skal LINK bistå Behandlingsansvarlig med dette, herunder skaffe til veie, hvis tilgjengelig, nødvendig kontaktinformasjon til de Registrerte som er berørt. Behandlingsansvarlig skal dekke kostnadene knyttet til slik kommunikasjon med de Registrerte, med mindre Sikkerhetsbruddet skyldes forhold som LINK er ansvarlig for. 11 OVERFØRING Utlevering, overføring eller tilgang til Personopplysninger ("Overføring") fra land utenfor EU/EØS ("Tredjeland") kan bare skje etter godkjenning fra Behandlingsansvarlig som beskrevet i punkt 13 nedenfor, og ved bruk av EUs standardvilkår, eller basert på annet rettslig grunnlag for slik Overføring. 12 BRUK AV UNDERLEVERANDØRER Behandlingsansvarlig godkjenner at LINK kan engasjere en annen databehandler ("Underleverandør") for å bistå i å yte tjenesten og behandle Personopplysninger under Avtalen, såfremt LINK sikrer at; i) LINKs forpliktelser som er fastsatt i Databehandleravtalen og Personvernlovgivningen pålegges Underleverandører gjennom skriftlig avtale; og at ii) enhver Underleverandør gir tilstrekkelige garantier for at det blir gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene I Personvernlovgivningen og Databehandleravtalen, samt gir Behandlingsansvarlig og relevant tilsynsmyndighet den tilgang og informasjon som er nødvendig for å verifisere slike garantier. LINK skal være fullt ut ansvarlig overfor Behandlingsansvarlig for at Underleverandører oppfyller sine forpliktelser. 13 PROSEDYRE FOR BRUK AV UNDERLEVERANDØRER LINK skal til enhver tid ha en oppdatert liste med oversikt over navn og kontaktinformasjon til alle Underleverandører og steder Underleverandører behandler Personopplysninger på vegne av Behandlingsansvarlig. Listen er tilgjengelig her: LINK skal oppdatere listen for å reflektere enhver tilføyelse eller utskiftning av Underleverandører og varsle Behandlingsansvarlig senest 3 måneder før den dag Underleverandøren skal påbegynne behandlingen av Personopplysninger. Enhver innvending mot slike endringer må fremsetter til LINK innen 3 uker fra epostvarsling mottas eller nettsiden med oversikt over Underleverandører oppdateres. Dersom Behandlingsansvarlig motsetter seg endringen eller 5/11

6 utskiftningen av en Underleverandør, kan LINK terminere Avtalen og Databehandleravtalen med 1 måneds varsel. Ved å inngå denne Databehandleravtalen, gir Behandlingsansvarlig fullmakt til LINK til å inngå EUs standardvilkår på vegne av Behandlingsansvarlig, eller til å sikre annet rettslig grunnlag for Overføring til et Tredjeland for Underleverandør som er godkjent i henhold til ovennevnte prosedyre. LINK skal på forespørsel gi Behandlingsansvarlig en kopi av slike EU standardvilkår eller en beskrivelse av annet rettslig grunnlag for Overføringen. LINK skal yte rimelig bistand og dokumentasjon til bruk i den Behandlingsansvarliges selvstendige risikovurdering av bruken av Underleverandører eller Overføringen av Personopplysninger til et Tredjeland. 14 REVISJONER LINK er forpliktet til å gi Behandlingsansvarlig dokumentasjon på gjennomførte tekniske og organisatoriske tiltak for å sikre et egnet sikkerhetsnivå samt annen informasjon som er nødvendig for å dokumentere at LINK oppfyller sine forpliktelser etter denne Databehandleravtalen og Personvernlovgivningen. Behandlingsansvarlig og relevant tilsynsmyndighet har rett til å gjennomføre revisjoner, herunder inspeksjoner og evaluering av Personopplysninger som behandles, systemene som benyttes til dette formål, gjennomførte tekniske og organisatoriske sikkerhetstiltak, inkludert sikkerhetsinstrukser etc., samt Underleverandører. Behandlingsansvarlig skal ikke gis tilgang til informasjon vedrørende LINKs andre kunder og informasjon som er underlagt konfidensialitetsforpliktelser. Behandlingsansvarlig har rett til å gjennomføre slike revisjon en gang per år. Dersom Behandlingsansvarlig utpeker en ekstern revisor til å gjennomføre revisjonen, skal revisoren være bundet av en plikt til konfidensialitet. Behandlingsansvarlig skal dekke kostnader knyttet til revisjoner som er initiert av Behandlingsansvarlig eller som påløper ved revisjon av Behandlingsansvarlig, inkludert kompensasjon til LINK for rimelig medgått tid for LINK og dennes ansatte for bistand under inspeksjonen. LINK skal likevel dekke slike kostnader hvis en revisjon avdekker manglende oppfyllelse av forpliktelser etter Databehandleravtalen eller Personvernlovgivningen. 15 VARIGHET OG OPPHØR Databehandleravtalen gjelder så lenge LINK behandler Personopplysninger på vegne av Behandlingsansvarlig. Dersom LINK bryter Databehandleravtalen eller ikke oppfyller sine forpliktelser etter Personvernlovgivningen, kan Behandlingsansvarlig (i) pålegge LINK å stanse videre behandling av Personopplysninger med øyeblikkelig virkning, og/eller (ii) avslutte Databehandleravtalen med øyeblikkelig virkning. 16 KONSEKVENSER VED OPPHØR Ved opphør av Databehandleravtalen skal LINK, i tråd med Behandlingsansvarliges instrukser, enten slette eller returnere alle Personopplysningene til Behandlingsansvarlig, inkludert kopier og back-up, med mindre annet er fastsatt i gjeldende lovgivning. 6/11

7 LINK skal skriftlig dokumentere overfor Behandlingsansvarlig at sletting har funnet sted i samsvar med Databehandleravtalen og som angitt av Behandlingsansvarlig. 17 ANSVARSBEGRENSNING Ingen part skal overfor den annen part være ansvarlig for indirekte tap eller følgeskader av noen art (inkludert, men ikke begrenset til tap som følge av driftsavbrudd, tap av data, tapt fortjeneste eller lignende) uavhengig av ansvarsgrunnlag, hva enten i kontrakt, culpaansvar, produktansvar eller annet, selv om parten er underrettet om muligheten for slike skader (i fellesskap omtalt som "Indirekte Tap"). Ingen part skal være ansvarlig overfor den annen part for; a) feil eller forsinkelser som ligger utenfor partens rimelige kontroll, herunder generelle internett eller linjeforsinkelser, strømbrudd eller feil på maskiner; eller b) feil forårsaket av den annen parts systemer eller handlinger, uaktsomhet eller unnlatelser, som alene skal være den partens ansvar. Det totale og maksimale ansvaret for hver tolv (12) måneders periode, for en part overfor den annen part under eller i medhold av denne Databehandleravtalen, skal under ingen omstendighet overstige et beløp tilsvarende det totalbeløp betalt for tjenesten under Avtalen i løpet av de tolv (12) siste månedene forut for den skadevoldende handlingen. Ovennevnte begrensninger skal ikke gjelde for skader som skyldes svindel, grov uaktsomhet eller forsett. 18 VARSLER OG ENDRINGER Alle varsler knyttet til Databehandleravtalen skal sendes skriftlig til e-postadressen angitt på første side av Databehandleravtalen. I tilfelle endringer i Personvernlovgivningen, dersom dom eller uttalelse fra kompetent myndighet eller annen autoritativ kilde medfører en endret tolkning av Personvernlovgivningen, eller dersom det gjøres endringer i leveransen av tjenesten under Avtalen som krever endringer i Databehandleravtalen, skal partene samarbeide for å oppdatere Databehandleravtalen tilsvarende. Enhver endring eller tillegg til denne Databehandleravtalen skal skje skriftlig og undertegnes av begge parter. 19 LOVVALG OG VERNETING Lovvalg, verneting og tvisteløsningsmekanisme reguleres av Avtalen. 7/11

8 Databehandleravtalen er underskrevet i to eksemplarer, hvorav partene beholder hvert sitt eksemplar. *** [sted, dato] [kunde] LINK Mobility [Click and type name] [Click and type title] [Click and type name] [Click and type title] 8/11

9 BILAG 1 - SIKKERHET 1 KRAV TIL INFORMASJONSSIKKERHET LINK, som i henhold til Avtalen behandler Personopplysninger på vegne av Behandlingsansvarlig, skal gjennomføre hensiktsmessige tekniske og organisatoriske tiltak som er fastsatt i Personvernlovgivning og/eller tiltak pålagt av relevant tilsynsmyndighet i henhold til gjeldende lovgivning for å oppnå et egnet sikkerhetsnivå. LINK skal vurdere egnet sikkerhetsnivå og ta hensyn til risikoene forbundet med behandlingen, herunder risiko for utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering eller tilgang til Personopplysninger som er overført, lagret eller på annen måte behandlet. All overføring av Personopplysninger mellom LINK og Behandlingsansvarlig eller mellom LINK og en tredjepart skal gjøres ved bruk av tilstrekkelige sikkerhetstiltak, eller som avtalt mellom partene. Dette Bilag 1 inneholder en generell beskrivelse av de tekniske og organisatoriske tiltak som skal iverksettes av LINK for å sikre et tilstrekkelig nivå av sikkerhet for Personopplysninger. I den grad LINK har tilgang til slik informasjon, skal LINK gjøre tilgjengelig for Behandlingsansvarlig generelle beskrivelser av Underleverandørers tekniske og organisatoriske tiltak som er implementert for å sikre et tilstrekkelig nivå av sikkerhet. 2 TEKNISKE OG ORGANISATORISKE TILTAK 2.1 Fysisk tilgangskontroll LINK skal iverksette forholdsmessige tiltak for å hindre uautorisert fysisk tilgang til LINKs eiendom og lokaler hvor det oppbevares eller behandles Personopplysninger. Tiltakene skal inkludere: Prosedyrer og/eller fysiske systemer for tilgangskontroll, herunder vakthold Automatisk dørlåsing eller andre tiltak for elektroniske tilgangskontroll Alarmsystem, videoovervåkning eller lignende tiltak Loggføring av besøkende i lokalet ID, nøkkel eller andre krav for adgang til lokalene 2.2 Tilgangsstyring for systemer LINK skal iverksette forholdsmessige tiltak for å hindre uautorisert tilgang til systemer hvor det oppbevares Personopplysninger. Tiltakene skal inkludere: Prosedyrer for passordbeskyttelse (herunder f.eks. krav til lengde og bruk av spesialtegn, regelmessig endring av passord etc.) Tilgang til systemer kreve godkjenning fra HR eller IT-administratorer Gjestebrukere og anonyme brukere nektes adgang til systemer Sentral administrasjon av systemtilgang Rutiner for manuell låsing av PC når man forlater arbeidsstasjon, og automatisk låsing etter maksimalt 5 minutter 9/11

10 Restriksjoner på bruk av utskiftbare medier, som f.eks. minnepinner, CD/DVD eller flyttbare harddisker, samt krav til kryptering 2.3 Tilgangsstyring for Personopplysninger LINK skal iverksette forholdsmessige tiltak for å hindre i utgangspunktet autoriserte brukere tilgang til Personopplysninger som ligger det utenfor deres autorisasjon å behandle, for å hindre uautorisert tilgang, fjerning, modifikasjon eller utlevering av Personopplysninger. Tiltakene skal inkludere: Differensierte tilgangsrettigheter definert basert på arbeidsoppgaver Automatisk loggføring av brukertilgang i IT-systemer 2.4 Kontroll over oppføring, endring etc. av Personopplysninger LINK skal iverksette forholdsmessige tiltak for å kontrollere og stadfeste hvorvidt og av hvem Personopplysninger har blitt ført inn i systemet, modifisert eller fjernet. Tiltakene skal inkludere: Differensierte tilgangsrettigheter definert basert på arbeidsoppgaver Automatisk loggføring av brukertilgang i IT-systemer, og regelmessig gjennomgang av sikkerhetslogger for å avdekke og følge opp potensielle sikkerhetshendelser Sikre at det er mulig å verifisere og stadfeste til hvilke tredjeparter Personopplysninger kan ha, eller har blitt, utlevert ved bruk av elektronisk kommunikasjonsutstyr Sikre at det er mulig å verifisere og stadfeste hvilke Personopplysninger som har blitt oppført i systemet, endret eller slettet, samt når og av hvem 2.5 Kontroll over utlevering av personopplysninger LINK skal iverksette forholdsmessige tiltak for å hindre uautorisert tilgang, modifisering eller fjerning av Personopplysninger ved overføring. Tiltakene skal inkludere: Bruk av "state of the art" kryptering på all elektronisk overføring av Personopplysninger Kryptering ved bruk av VPN eller HTTPS for fjerntilgang, transport og kommunikasjon av Personopplysninger Lage revisjonsspor for all utlevering av Personopplysninger 2.6 Tilgjengelighetskontroll LINK skal iverksette forholdsmessige tiltak for å sikre at Personopplysninger er beskyttet mot tilfeldig ødeleggelse eller tap. Tiltakene skal inkludere: Regelmessig back-up av Personopplysninger Fjernlagring Bruk av virus-beskyttelse/brannvegg Overvåkning av systemer for å avdekke virus etc. Sikre at funksjonsfeil/maskinfeil ikke kan medføre at lagrede Personopplysninger ødelegges Sikre at installerte systemer kan gjenopprettes i tilfelle av forstyrrelser Avbruddsfri strømtilførsel Prosedyrer for å sikre virksomhetskontinuitet (Business Continuity) 10/11

11 2.7 Kontroll med at personopplysninger holdes atskilt LINK skal iverksette forholdsmessige tiltak for å sikre at Personopplysninger som er samlet inn for forskjellige formål, også behandles atskilt. Tiltakene skal inkludere: Differensierte tilgangsrettigheter definert basert på arbeidsoppgaver Atskilte IT-systemer 2.8 Kontroll over Underleverandører LINK skal i tilfelle av bruk av andre til å behandle Personopplysninger iverksette forholdsmessige tiltak for å sikre at Personopplysningene behandles i tråd med den Behandlingsansvarliges instruksjoner. Tiltakene skal inkludere: Entydig og klar ordlyd i avtaler og andre skriftlige instruksjoner Overvåkning av kontraktsutførelse 2.9 Trening og bevissthet LINK skal iverksette tiltak for å sikre at alle ansatte er klar over rutiner for sikkerhet og konfidensialitet, gjennom: Entydig og klar regulering i arbeidsavtaler på konfidensialitet, sikkerhet og krav til etterlevelse av interne rutiner Interne rutiner og kursing i krav til behandling av Personopplysninger for å skape bevissthet blant ansatte 11/11