Praktisk bruk av mal for databehandleravtale. Christina M Grønli, pvo Viken fylkeskommune

Transkript

1 Praktisk bruk av mal for databehandleravtale Christina M Grønli, pvo Viken fylkeskommune

2 Agenda Bakgrunn og arbeid med malen Hva er tanken bak malen? Hvordan skal malen brukes?

3 Bakgrunn og arbeid med malen Samarbeid mellom personvernombudene i des Innspills-runde Språkvask Lokalt arbeid Dette bildet av Ukjent forfatter er lisensiert under CC BY

4 Inspirert av malene til bla.a Danske Datatilsynet Akershus fylkeskommune Trøndelag fylkeskommune Utdanningsdirektoratet Bærum kommune KS SSA

5 Tanken bak malen En generell avtaletekst som ikke er valgfri Vedlegg tilpasset det enkelte oppdrag Mulig å bruke uten SSA Klart språk Følger forordningens rekkefølge

6 Hvorfor må avtalen være så lang og omfattende da, kan vi ikke ha en liten avtale til små oppdrag?

7 Personvernforordningen art. 28 Stiller flere krav til innholdet i en databehandleravtale. Avtalen må beskrive selve behandlingen, den behandlingsansvarliges plikter og rettigheter, samt databehandlerens forpliktelser etter avtalen. Dette bildet av Ukjent forfatter er lisensiert under CC BY-SA-NC

8

9 Hvordan bruke malen Forarbeid Valg og utfylling av vedlegg Dette bildet av Ukjent forfatter er lisensiert under CC BY

10 Først og fremst Avtalen skal sette en klar ramme for hvordan databehandleren kan behandle personopplysninger på våre vegne Vi skal sikre at instruksene vi gir er i tråd med regelverket Det er vi som behandlingsansvarlig som skal sikre at innholdet i databehandleravtalen er korrekt

11 Det er en fordel om fylkeskommunens minstekrav defineres i forkant (i vedleggene), for å sikre riktig forankring og lik praksis Dette bildet av Ukjent forfatter er lisensiert under CC BY-SA-NC

12 Innholdet henger tett sammen med andre plikter etter forordningen Behandlingsprotokollen Risikovurdering Personvernkonsekvensvurdering (DPIA) Avtalen kan innarbeides som en del av prosjektveiviseren/anbudsprosessen

13 Avtalen Dette bildet av Ukjent forfatter er lisensiert under CC BY-NC-ND

14

15

16 Generelle bestemmelser Denne delen inneholder generelle praktiske bestemmelser om avtalen slik som overordnet formål med avtalen, forhandlingsmuligheter, korrespondanse mellom partene, hvilke vedlegg som er med.. Dette bildet av Ukjent forfatter er lisensiert under CC BY-NC-ND

17 Vedlegg 101 Endringer i den generelle avtaleteksten Dersom du ønsker å avvike fra den generelle avtaleteksten, skal eventuell erstatning av tekst legges inn i dette vedlegget. Dette er en beslutning som gjøres i forkant av utlysningen, slik at alle leverandørene er kjent med eventuelle avvik fra den generelle avtaleteksten.

18 Vedlegg 102 Partenes avtaler om andre forhold Her må du vurdere eventuell utfylling i forkant av utlysningen. Avtaler om andre forhold er stort sett bare aktuelt der det ikke er en godt utarbeidet leveranseavtale i tillegg til databehandleravtalen. For eksempel Lovvalg erstatningsansvar Dba/La Databehandleravtalen TJENESTEN Leveranseavtalen

19 Vedlegg 103 Vederlag og betalingsbetingelser Dette vedlegget må fylles ut i forkant av anskaffelsen dersom det er aktuelt å bruke. Se da til leveranseavtalen for å vurdere om det allerede er dekket opp der- f.eks. under prisbestemmelser. Aktuelt å regulere betaling for visse typer bistand : hjelp til å hente ut data ved innsynskrav gjennomføring av ROS og DPIA hjelp til sletting Husk å avklare hva leverandøren skal få betalt ekstra for i forkant.

20 Vedlegg 104 Endringer i oppdraget/tjenesten etter avtaleinngåelsen Dersom leveranseavtalen ikke har et endringsbilag, og partene blir enig om endringer ved leveransen etter avtaleinngåelsen, fylles slike endringer ut her. Endringer må ses opp mot anskaffelsesregelverket, slik at endringene ikke rokker ved den primære leveransen. Dette bildet av Ukjent forfatter er lisensiert under CC BY-SA-NC

21

22 Databehandleroppdraget Denne delen gjelder selve databehandleroppdraget. Her vises det til vedleggene som faktisk skal beskrive oppdraget. Disse vedleggene må alltid fylles ut. Art. 28. nr. 3

23 Vedlegg 201 Spesifisering av databehandleroppdraget Dette vedlegget skal være med i avtalen, og må fylles ut så godt det lar seg gjøre i forkant av anskaffelsen. Databehandleravtalen må beskrive konkret hva databehandleren faktisk skal gjøre, herunder: hva som er formålet med behandlingen hva slags personopplysninger som er registrert Hva slags type behandling som skal gjøres hvor lenge avtalen skal vare Etc Dersom personopplysninger behandles for flere formål, anbefaler vi å beskrive disse hver for seg for å gjøre avtalen enklest mulig å lese.

24 Kategorier av registrerte Eksempler på kategorier av registrerte er ansatte, medlemmer, kunder, pasienter, elever og lignende. Ansatte Kontraktører Barn Elever Kunder Pasienter Leverandører Nettstedsbesøkende Fysiske besøkere Folkevalgte Tidligere ansatte Foreldre/foresatte Tidligere elever Innbyggere Sårbare grupper Type behandling relaterer seg til formålet, og er med på å presisere akkurat det databehandleren kan gjøre Gjenfinning Sammenstilling Sletting eller tilintetgjøring Utlevering Spredning Tilgjengeliggjøring Lagring Strukturering Organisering Tilpasning eller endring Konsultering Bruk Registrering Innbyggeres registreringer Ansattes registreringer Innsamling Anonymisering Samkjøring Begrensning

25 Kategorier av personopplysninger som behandles Med type personopplysninger menes de konkrete opplysningene som blir behandlet, slik som for eksempel navn, telefonnummer, fødselsdato, kjøpshistorikk, kundenummer, logginformasjon og så videre. Opplysninger i rød boks viser at det er særlige kategorier av personopplysninger som krever ekstra varsomhet Navn Telefonnummer E-post Adresse Personnummer Fødselsnummer Hemmelig adresse Sivilstatus Stilling/rolle Arbeidshistorikk Kundesamtaler IP-adresse MAC-adresse Kundekorrespondanse Finansielle transaksjoner Kontonummer Dato / tid / sted for kjøp Kredittkortnummer CVC2-nummer Kortholderinformasjon Serienummer Posisjonsdata Adgangskontrollogger Opptak fra overvåkningskamera Analyser og rapporter om registrerte personer Rasemessig eller etnisk opprinnelse Politisk oppfatning Religion Filosofisk overbevisning Fagforeningstilhørighet Genetiske opplysninger Biometriske opplysninger Helseopplysninger Seksuelle forhold Seksuell legning Straffedommer Lovovertredelser

26

27 Den behandlingsansvarliges (våre) plikter og rettigheter Innhold Ansvar for rettslig grunnlag for behandlingen Fullstendig råderett over opplysningen Rett til å bestemme formålet med behandlingen Ansvar for å gi instrukser Med mindre annet avtales: Svare på henvendelser Gi informasjon til de registrerte Melde brudd til Datatilsynet Ingen vedlegg Art. 24, art. 4 nr.7, art. 28 nr.3a

28

29 Databehandlerens forpliktelser Innhold Viser til den behandlingsansvarliges rett og plikt til å gi databehandleren dokumenterte skriftlige instrukser for hvordan personopplysningene skal behandles. Bruk konkurransegrunnlaget og kravspesifikasjonen som grunnlag. Dette bildet av Ukjent forfatter er lisensiert under CC BY-SA- NC

30 Vedlegg 401 Krav til sikkerhet ved behandlingen Dette vedlegget skal alltid være med som en del av avtalen. I forkant av anskaffelsen er det viktig å foreta en ROS analyse for å vurdere hvilke tiltak som er nødvendig å sette til verks for å hindre brudd på informasjonssikkerheten. Dersom det er spesifikke krav vi mener leverandøren må oppfylle, må disse også fremgå som en del av kravspesifikasjonen. Dette bildet av Ukjent forfatter er lisensiert under CC BY-NC-ND

31 Vedlegg 402 Underdatabehandler Dette vedlegget skal alltid være med, og det må tas et valg i forkant av utlysningen om leverandøren skal kunne bruke en underdatabehandler eller ikke. Databehandleren må på forhånd ha fått tillatelse til å bruke en underleverandør. Vår databehandler må inngå en egen databehandleravtale med underdatabehandleren som inneholder de samme forpliktelsene som er inngått mellom oss og databehandleren. Vedlegg 402- A Underdatabehandler fylles ut artikkel 28 nr. 4

32 Vedlegg 403 Bistand til Behandlingsansvarlig Den generelle avtaleteksten angir de overordnede forventningene vi har til bistand, og er nødvendig siden det ofte er databehandleren som har den daglige håndteringen av personopplysningene. Dette vedlegget skal være med, men kan fylles ut i etterkant av anskaffelsen. Vedlegget skal som et minimum angi kontaktpersoner ved behov for bistand, samt den gir muligheten til å spesifisere den generelle avtaleteksten en forventningsavklaring knyttet til det bestemte oppdraget

33 Vedlegg 404 Brudd på personopplysningssikkerheten Databehandleren har etter den generelle avtaleteksten en rekke plikter knyttet til brudd på personopplysningssikkerhet,blant annet å melde fra og bistå oss ved avvik. Dette vedlegget skal delvis fylles ut i forkant av anskaffelsen. Her skal det nedtegnes hvilken rutine vi ønsker for varsling av brudd på personopplysningssikkerheten. Dette bildet av Ukjent forfatter er lisensiert under CC BY

34 Vedlegg 405 Sletting og tilbakelevering Hovedregel er at personopplysninger ikke skal behandles lenger enn det som skal til for å oppnå formålet. Leverandøren skal ikke sitte igjen med personopplysninger etter at avtalen er opphørt. Dette vedlegget skal være med, og fylles ut i forkant av anskaffelsen så fremt det lar seg gjøre. Dersom det ikke er mulig å fastsette sletterutine, bør eksemplene fjernes, og en bør be om en beskrivelse i kravspesifikasjonen.

35 Vedlegg Prosedyre for tilsyn som fortas av Behandlingsansvarlig Dette vedlegget tas med der det er sannsynlig at vi vil foreta en kontroll av behandlingen på eget initiativ.

36

37 Overføring av opplysninger til tredjestater Innhold Krav til behandlingen dersom personopplysninger behandles i utlandet Sikrer at vi har oversikt og kontroll Dette bildet av Ukjent forfatter er lisensiert under CC BY

38

39 Vedlegg Overføring av personopplysninger til utlandet Vedlegget skal være med dersom det er snakk om at opplysningene overføres til utlandet. Bør spesifiseres i konkurransegrunnlaget dersom behandlingen kun skal skje i Norge/EØS. Ofte kan det være greit å la vedlegget stå åpent til utfylling etter at leverandør er valgt. For hvert land dataen overføres til, skal vedlegget fylles ut.

40 Etter at avtalen er fylt ut og før utlysning, skal: innholdsfortegnelsen oppdateres Totalt antall sidetall nede høyre hjørne oppdateres Alle tekstbokser (eksempeltekster) og rød tekst i vedleggsmalene slettes Avtalen skal renses i Word for skjult informasjon før den sendes ut når denne skal oversendes digitalt til leverandøren. Vi anbefaler at utfylt avtale kvalitetssikres av jurist/innkjøp før signering

41 Arbeid i praksis Vurdere hvilke vedlegg som skal være med eller ikke, før malen presenteres for leverandøren! Avtale ROS og evt. DPIA med eller uten leverandøren, og bruke funn til å spesifisere avtalen, f.eks. minimumskrav til sikkerhet i løsningen Bruk hverandres kompetanse

42 Bistand internt Bistand fra advokatkontoret ved endringer i den generelle avtaleteksten Bistand fra IT på informasjonssikkerhet Spør personvernombudet om behov for DPIA Dette bildet av Ukjent forfatter er lisensiert under CC BY-SA

43 Kort om Difi sin mal Felles høringssvar fra ombudene, uavhengig av fylkeskommunene Dette bildet av Ukjent forfatter er lisensiert under CC BY-SA-NC