Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Like dokumenter
Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Bilag 14 Databehandleravtale

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

POWEL DATABEHANDLERAVTALE

Databehandleravtale etter personopplysningsloven

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Registrerte og personopplysninger som behandles

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Databehandleravtaler

Databehandleravtale etter personopplysningsloven

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale for NLF-medlemmer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven m.m

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale etter personopplysningsloven

DATABEHANDLERAVTALE vedrørende nettjenesten

Databehandleravtale for Visma Avendo Webtime

OM PERSONVERN TRONDHEIM. Mai 2018

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

DATABEHANDLERAVTALE. 1. Bakgrunn

Retningslinjer for databehandleravtaler

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Kunden er behandlingsansvarlig Unifaun er databehandler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Databehandleravtale etter personopplysningsloven

BILAG 1 DATABEHANDLERAVTALE

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personopplysningsvern med ProFundo som databehandler

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Databehandleravtaler. Tommy Tranvik Unit

Databehandleravtale. Denne avtalen er inngått mellom

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Databehandleravtale. Charlotte Lindberg Difi

Databehafiileravtale ' ---

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

DATABEHANDLERAVTALE. mellom. [Kunde] (heretter kalt "Behandlingsansvarlig") PayEx Norge AS, org nr (heretter kalt "Databehandler")

Praktisk bruk av mal for databehandleravtale. Christina M Grønli, pvo Viken fylkeskommune

Bilag 1 Omforent spesifikasjon av SaaS-tjenestene med forutsetninger og vilkår

3 Omfattede typer av personopplysninger og kategorier av registrerte

Prosedyre for personvern

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

AVTALE OM [sett inn navn på oppdrag/tjeneste] Mal for Databehandleravtale. Arbeids- og velferdsetaten (NAV) [Virksomhetens navn]

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

DATABEHANDLERAVTALE. Vitari AS, org.nr , Nye Vakås Vei 64, 1395 HVALSTAD, ( Behandlingsansvarlig ) og

BILAG 1 PRINSIPPSKISSE FOR TJENESTEN. Bilag til Tilslutningsavtale for Mediasite

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

GDPR - PERSONVERN. Advokat Sunniva Berntsen

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

KUNDEN, slik angitt i ordrebekreftelse fra, eller annen avtale med, ABAX (Behandlingsansvarlig, heretter "Kunden")

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Lagring av forskningsdata i Tjeneste for

Arkivsystemer med skyløsninger

Policy for personvern

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

Transkript:

Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler

1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden, krever Personopplysningsloven at partene inngår en Databehandleravtale. I denne avtalen brukes begrepet «Behandlingsansvarlig» om «Kunde» og «Databehandler» om «Leverandør». Databehandleravtaler skal regulere behandling av Personopplysninger som Databehandler gjør i forbindelse med oppdrag for Behandlingsansvarlig. Dette dokumentet inneholder Sporveiens standardvilkår for Databehandleravtaler og inngår som standardisert Vedlegg 1 til Databehandleravtaler. Partene kan avtale utfyllende vilkår, eller andre vilkår i Databehandleravtalen. Dersom partene har inngått databehandleravtale tidligere, skal denne databehandleravtalen avløse tidligere databehandleravtaler. Leverandørs oppdrag for Behandlingsansvarlig om behandling av Personopplysninger vil normalt være gjenstand for avtaleregulering, og dette kalles Hovedavtalen. I slike tilfeller er Databehandleravtalen bilag til Hovedavtalen, og Sporveiens standardvilkår for Databehandleravtaler er bilag til Databehandleravtalen. Avtalestrukturen er illustrert nedenfor Hovedavtale Bilag til Hovedavtale: Databehandleravtale Bilag til Databehandleravtalen: Sporveiens standardvilkår for Databehandleravtaler. 2 Bakgrunn og hensikt Databehandleravtalen regulerer kun de personvernrettslige forhold, og ikke kommersielle forhold. Kommersielle forhold reguleres i Hovedavtalen eller på annen måte. Databehandleravtalens hensikt er å regulere partenes rettigheter og plikter i henhold til gjeldende regler, pt Lov av 14. april 2000 nr. 31 om behandling av Personopplysninger (Personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (Personopplysningsforskriften), samt Personopplysningslov, slik den vil gjennomføre EUs personvernforordning (GDPR) i norsk rett. Når ny lov om Personopplysninger, som implementerer EUs personvernforordning (GDPR) trer i kraft i 2018, vil Databehandler ved lov bli pålagt nye og selvstendige forpliktelser og ansvar, eksempelvis krav til informasjonssikkerhet og samarbeid med Behandlingsansvarlige. Databehandler forplikter seg til å oppfylle de krav og forpliktelser som gjelder for databehandlere som følger av gjeldende rett til enhver tid. 3 Tolkningsprinsipp Ved tolkningstvil skal Databehandleravtalen med vedlegg tolkes slik at partenes forpliktelser er i samsvar med GDPR. 4 Definisjoner a) Begrepene i denne avtale skal brukes og tolkes i samsvar med personopplysningsloven slik den er til enhver tid og EUs personvernforordning.

b) Standardvilkår: Sporveiens Standardvilkår for databehandleravtale: (Dette dokumentet) Generelle vilkår som er Vedlegg 1 til Databehandleravtale. c) Databehandleravtale: Avtale mellom Behandlingsansvarlig (Kunden) og Databehandler (Leverandør) om behandling av Personopplysninger. Databehandleravtalen består normalt av tre deler: a) Databehandleravtalen b) Vedlegg 1: Sporveiens Standardvilkår for databehandleravtale c) Vedlegg 2: Kartleggingsskjema for informasjonssikkerhet, utfylt av leverandøren d) Hovedavtalen: Avtale om kommersielle og andre forhold i forbindelse med leveranse mellom Databehandler og Behandlingsansvarlig, refereres til som Hovedavtalen. e) Behandlingsansvarlig: Den som bestemmer hvilke formål Personopplysninger skal behandles for og valg av hjelpemidler. Dette er Kunden. f) Databehandler: Den som behandler Personopplysninger på vegne av den Behandlingsansvarlige. Dette er «Leverandør». g) Underdatabehandler: Databehandlers underleverandør, dersom underleverandøren får befatning med Behandlingsansvarliges Personopplysninger. h) Underdatabehandleravtale: Databehandleravtale mellom Databehandler og Underdatabehandler. i) Personopplysninger: Opplysninger og vurderinger som direkte eller indirekte kan knyttes til enkeltpersoner, eller som direkte eller indirekte kan identifiseres ved hjelp av en indikator, se EUs personvernforordning art 4 nr 1. j) Særlige kategorier Personopplysninger: Opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. k) Behandling»: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. EUs personvernforordning art 4 nr 2. l) De registrerte: Personer hvis Personopplysninger behandles. m) GDPR: EUs personvernforordning: Europaparlamentet og Råders forordning (EU) 2016/679 av 27.4.2016. n) Godkjente jurisdiksjoner: Tredjeland (land utenfor EU/EØS) som EU-Kommisjonen har godkjent fordi de anses å garantere et tilfredsstillende nivå for personvern og informasjonssikkerhet. 5 Beskrivelse av hva slags Personopplysninger som skal behandles Databehandler skal utføre tjenester for Behandlingsansvarlig og dette medfører at Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig. Typen personopplysninger er beskrevet nærmere i Databehandleravtalens pkt 5. 6 Formålet med Databehandlers behandling av Personopplysningene Databehandlers plikter

Databehandler skal kun behandle Personopplysninger med det formål å utføre tjenester etter Hovedavtalen, Databehandleravtalen og i henhold til instrukser fra Behandlingsansvarlig. Som følge av dette oppdraget etter Hovedavtalen, vil Databehandler behandle eller kunne få innsyn i Behandlingsansvarliges Personopplysninger. Databehandleren skal behandle Personopplysninger slik det fremgår av Databehandleravtalen. Eventuelle fremtidige endringer i oppdrag, formål og beskrivelse av behandlinger skal skje skriftlig. 7 Rettigheter og plikter Begge parter har ansvaret for å sikre at behandling av Personopplysninger utføres i samsvar med de til enhver tid gjeldende lover og forskrifter, samt god praksis for databehandlere. Databehandler skal utføre sine plikter etter Databehandleravtalen uten ytterligere kompensasjon, men mindre annet er særskilt avtalt. 8 Behandlingsansvarliges rettigheter og plikter Behandlingsansvarlig har angitt formålet med behandlingen av Personopplysninger og hvilke hjelpemidler som skal benyttes i Databehandleravtalens pkt 6. Behandlingsansvarlig har ansvaret for å ha rettslig grunnlag for å behandle de Personopplysninger som Databehandler får tilgang til i forbindelse med Databehandleravtalen og Hovedavtalen. Behandlingsansvarlig kan gi ytterligere instrukser om behandling av Personopplysninger. 9 Databehandlers plikter 9.1 Generelt Databehandler har plikt til å behandle Personopplysninger i henhold til Databehandleravtalen og vedlegg til denne. Databehandleren kan ikke behandle Personopplysningene på annen måte, eller til andre formål enn det som følger av Databehandleravtalen. Databehandler har ikke rett til å bruke, selge eller overlate Personopplysninger til andre for behandling, med mindre dette er skriftlig avtalt med Behandlingsansvarlig. Databehandleren forplikter seg til å ikke å overføre Personopplysninger, som Databehandleren behandler på vegne av Behandlingsansvarlig, til tredjepersoner uten forutgående skriftlig avtale med Behandlingsansvarlig. Databehandler skal følge de rutiner og instrukser for behandlingen som Behandlingsansvarlig til enhver tid har bestemt skal gjelde.

9.2 Bruk av Underdatabehandler Databehandler har ikke rett til å bruke underdatabehandler uten at Behandlingsansvarlig på forhånd har godkjent Underdatabehandleren. Tilsvarende gjelder bruk av andre som normalt ikke er ansatt hos Databehandleren. Når Databehandler bruker Underdatabehandler, gjelder følgende: a) Underdatabehandler som er godkjent av Behandlingsansvarlig, skal fremgå av Databehandleravtalens pkt 7.2. b) Databehandleren har plikt til å inngå egen databehandleravtale med eventuelle Underdatabehandlere. Underdatabehandleravtalen skal sikrer at Underdatabehandler får alle forpliktelser i forbindelse med behandling av Personopplysninger som følger av Databehandleravtalen med vedlegg, herunder, men ikke begrenset til kravene til sikkerhet i Databehandleravtalen. c) Databehandler skal legge frem Underdatabehandleravtale, som Behandlingsansvarlig skal godkjenne. Behandlingsansvarlig kan nekte å godkjenne Underdatabehandleravtale dersom den ikke tilfredsstiller Databehandleravtalens krav, jf pkt b) ovenfor. d) Databehandleravtale mellom Databehandler og Underdatabehandler skal vedlegges Databehandleravtalen som vedlegg 3, jf Databehandleravtalens pkt 7.2. e) Underdatabehandler skal følge alle instruksjoner fra Behandlingsansvarlig, som gjelder behandling av Personopplysninger f) Databehandler er fullt ut ansvarlig for Underdatabehandlers handlinger og unnlatelser. g) Ansatte og andre som utfører oppdrag på vegne av Databehandler, der bruk av de aktuelle Personopplysningene inngår, skal være kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. Disse skal signere taushetserklæring, som tilfredsstiller kravene i pkt 11 nedenfor. h) Kravene i pkt 9.2 g) gjelder tilsvarende for Underdatabehandler, og disses ansatte og andre som utfører oppdrag på vegne av Underdatabehandler. i) Om sikkerhetsrevisjon av Underdatabehandler, se pkt 9.7. 9.3. Krav til informasjonssikkerhet Databehandler skal behandle Personopplysninger i henhold til de krav som er stilt i Sjekkliste for informasjonssikkerhet, se pkt 9.4. Databehandleren skal planlegge og iverksette forholdsmessige tiltak for å ivareta krav til informasjonssikkerhet i forbindelse med gjennomføring av tjenesten. Dette skal gjennomføres gjennom planlagte og systematiske tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av Personopplysninger, jf. Personopplysningslovens 13 og GDPR art 32. Leverandøren skal iverksette forholdsmessige tiltak for å sikre konfidensialitet av alle data, herunder tiltak for å sikre at data ikke kommer på avveie, og for øvrig å sikre mot innsyn fra uvedkommende. Videre skal det iverksettes forholdsmessige tiltak for å sikre mot utilsiktet endring og sletting av data og mot angrep av virus og annen skadevoldende programvare. Databehandleren skal dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal på forespørsel være tilgjengelig for Behandlingsansvarlig og dennes revisorer, samt for Datatilsynet og Personvernnemnda. Databehandleren skal gjennomføre jevnlige risikovurderinger og sikkerhetsrevisjoner for behandling av Personopplysninger som omfattes av denne databehandleravtalen. Databehandler garanterer at Personopplysninger vil bli behandlet med de tekniske og organisatoriske tiltak på en slik måte at behandlingen oppfyller krav til behandling av

Personopplysninger i norsk lovgivning slik den er til enhver tid, og sikrer beskyttelse av rettighetene til de som er registrert. Databehandler plikter å gi Behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. 9.4 Sjekkliste for informasjonssikkerhet Databehandler skal fylle ut sjekkliste for informasjonssikkerhet, som skal være Vedlegg 2 til Databehandleravtalen. Se pkt 9.3. første ledd. 9.5 Overføring til utlandet Personopplysninger skal ikke overføres til land utenfor EU/EØS-området, eller til Godkjente jurisdiksjoner, uten at dette er skriftlig avtalt med Behandlingsansvarlig på forhånd. I tilfelle partene skal inngå avtale om overføring til land utenfor EU/EØS, skal avtalen være basert på EU-kommisjonens modellavtale for overføring ( Decision 2010/87/EU) eller enhver avtale eller avtaleklausul som EU-kommisjonen måtte godkjenne. Verken teknisk personell eller andre som befinner seg utenfor EU/EØS eller utenfor Godkjente jurisdiksjoner, skal ha noen som helst tilgang til Personopplysninger i noen som helst form. Dersom Personopplysninger behandles utenfor EU/EØS-område, skal Databehandler fylle ut Databehandleravtalens pkt 7.3 hvor det skal fremgå: Land eller region Personopplysninger behandles i (herunder lagres i) Land eller region personell som har tilgang til Personopplysninger befinner seg i. 9.6 Atskillelse av data Databehandler plikter å holde Behandlingsansvarliges data logisk atskilt fra eventuelle tredjeparters data for å eliminere faren for beskadigelse av data og/eller innsyn i data. Med logisk atskilt forstås at nødvendige tekniske tiltak som sikrer data mot uønsket endring og innsyn, er iverksatt og opprettholdt. Som uønsket endring og innsyn anses også tilgang fra ansatte hos Databehandler eller andre som ikke har behov for informasjonen i sitt arbeid for Behandlingsansvarlige. 9.7 Innsyn, sikkerhetsrevisjoner og dokumentasjon på informasjonssikkerhet Behandlingsansvarlig har rett til tilgang til og innsyn i Personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. Dette gjelder med mindre annet er avtalt eller følger av lov. Behandlingsansvarlig har rett til å gjennomføre sikkerhetsrevisjoner for systemer og lignende som omfattes av denne avtalen, for å revidere Databehandlers forpliktelser etter Databehandleravtalen. Dersom Databehandleren bruker Underdatabehandler, har Behandlingsansvarlig tilsvarende rett til å gjennomføre sikkerhetsrevisjoner hos Underdatabehandler. Behandlingsansvarlig har også rett til å be om å få fremlagt dokumentasjon for informasjonssikkerhet fra Databehandler og Underdatabehandler, i den grad dette er nødvendig for at Behandlingsansvarlig skal kunne forsikre seg om at reglene for personvern til enhver tid er tilfredsstilt.

9.8 Avvik og varsling av avvik Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom han eller hun blir kjent med at behandling av Personopplysninger er i strid med Databehandleravtalen eller sikkerhetsbrudd. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet, med mindre annet avtales eller følger av lov. Ved melding om avvik, skal Databehandleren gi informasjon, så langt det er mulig, om arten, omfang og konsekvens av avviket, årsak til avviket, samt gjennomførte og planlagte tiltak. 9.9 Databehandlers plikter når den registrerte gjør krav på innsyn Dersom Databehandler mottar innsynsbegjæring, skal henvendelsen oversendes Behandlingsansvarlig. Databehandler skal medvirke til gjennomføringen, dersom Behandlingsansvarlig ber om det. 9.10 Lagring og sletting Databehandler skal ikke lagre Personopplysninger lenger enn det som er nødvendig med formålet med behandlingen og som følger av Hovedavtalen. Dette reguleres i Databehandleravtalen pkt 7.5. Dersom Behandlingsansvarlig ønsker at Databehandleren skal slette Personopplysninger avtales dette i Databehandleravtalens pkt 7.5 eller i annen avtale mellom partene. 9.11 Databehandlers plikter i forbindelse med avslutning av tjenesten Ved opphør av Databehandleravtalen plikter databehandler å tilbakelevere alle Personopplysninger som er mottatt på vegne av den Behandlingsansvarlig og som omfattes av Databehandleravtalen, med mindre dette er nærmere regulert i Hovedavtalen. Dette kan reguleres nærmere i Databehandleravtalen pkt 7.5 og 7.6. Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til Databehandleravtalen innen rimelig tid etter avtalens opphør. 10 Avtalens varighet og oppsigelse Databehandleravtalen gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig, og frem til alle Personopplysninger er slettet eller tilbakelevert, i samsvar med Databehandlingsavtalens regler for dette. Databehandleravtalen gjelder inntil en eventuell ny databehandleravtale trer i kraft. Avtalen kan sies opp av Behandlingsansvarlig med en frist på tre måneder. Andre ordninger kan avtales i Databehandleravtalens punkt 7.7. 11 Taushetsplikt Databehandler og dennes personell har taushetsplikt om Personopplysninger som vedkommende får tilgang til i henhold til denne Databehandleravtalen og Hovedavtalen. Underdatabehandler og

Underdatabehandlerens personell skal undertegne tilsvarende taushetserklæring, som skal være tilgjengelig på Behandlingsansvarliges forespørsel. Taushetsplikten gjelder også etter avtalens opphør. Brudd på denne bestemmelsen anses som vesentlig mislighold av Databehandleravtalen. 12 Mislighold Ved brudd på Databehandleravtalen, eller de til regler som til enhver tid gjelder for behandling av Personopplysninger, kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Brudd på Databehandleravtalen regnes som vesentlig mislighold av Hovedavtalen. Vesentlig mislighold av Databehandleravtalen gir Behandlingsansvarlig rett til å påberope seg Hovedavtalens regler om mislighold, herunder rett til heving. 13 Erstatning og regress Databehandler skal holde Behandlingsansvarlige skadesløs for ethvert tap av alle slag, utgifter etc som skyldes Databehandlers, eller Underdatabehandlers, brudd på plikter etter Databehandleravtalen, lov eller forskrift, myndighetsvedtak eller beslutning fra domstol. Dersom Behandlingsansvarlig blir idømt bøter, overtredelsesgebyr eller lignende som følge av Databehandlers forhold, har Behandlingsansvarlig rett til regress hos Databehandler. Databehandler har tilsvarende ansvar overfor Behandlingsansvarlig for Underdatabehandler, se pkt 9.2. Hovedavtalens eventuelle bestemmelser om begrensning i erstatningsansvar, gjelder ikke for erstatning og regress etter Databehandleravtalen. 14 Endringer i lovverk etc Ved endringer i relevante lov eller forskrifter kan Behandlingsansvarlig og Databehandler kreve endringer i denne avtalen slik at den reflekterer nye krav og forpliktelser. 15 Lovvalg og verneting Avtalen reguleres av norsk rett, med Oslo tingrett som avtalt verneting.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding