Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Like dokumenter
Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale etter personopplysningsloven

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Bilag 14 Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Registrerte og personopplysninger som behandles

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale etter personopplysningsloven

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Endringer av leveransen etter avtaleinngåelse

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtaler

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven m.m

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

DATABEHANDLERAVTALE vedrørende nettjenesten

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Databehandleravtale for NLF-medlemmer

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

BILAG 1 DATABEHANDLERAVTALE

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

POWEL DATABEHANDLERAVTALE

Databehafiileravtale ' ---

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og

DATABEHANDLERAVTALE. 1. Bakgrunn

DatabehandIeravtaIe MK i

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Databehandleravtale. mellom. Navn på skoleeier: Org. nr.: (behandlingsansvarlig)

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

3 Omfattede typer av personopplysninger og kategorier av registrerte

Bilag 3 - Databehandleravtale til tjenesteavtale (SSA-L)

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Bilag 1 Omforent spesifikasjon av SaaS-tjenestene med forutsetninger og vilkår

Databehandleravtale. Charlotte Lindberg Difi

Databehandler. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

DATABEHANDLERAVTALE. [Virksomhetens navn] Kristiansand kommune

Lagring av forskningsdata i Tjeneste for Sensitive Data

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Forvaltningssystem for skatteinnkreving (Sofie) Kontrollstøttesystem(Koss) Løsning for dokumenthåndtering (F-Dok) Avtale mellom

BILAG 1 PRINSIPPSKISSE FOR TJENESTEN. Bilag til Tilslutningsavtale for Mediasite

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Retningslinjer for databehandleravtaler

Det er inngått "Oppdragsavtale for Regnskapsoppdrag" ("Avtalen") mellom Regnskapsforetaket og Kunden (hver en "Part", i fellesskap "Partene").

Databehandleravtale. mellom. Kunden (behandlingsansvarlig) Devinco AS (databehandler)

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Kunden er behandlingsansvarlig Unifaun er databehandler

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

Lagring av forskningsdata i Tjeneste for

Databehandleravtale. Denne avtalen er inngått mellom

Personvern - sjekkliste for databehandleravtale

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Databehandleravtale for Visma Avendo Webtime

Transkript:

Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter og plikter etter det til enhver tid gjeldende regelverk for personopplysninger. Ved avtaleinngåelsen er dette Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften) i forbindelse med at Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. 2. Definisjoner I denne avtalen gjelder de definisjoner som følger av personopplysningsloven 2. 3. Partenes plikter og rettigheter Databehandler skal behandle personopplysninger på vegne av Behandlingsansvarlig. Opplysningene skal utelukkende behandles for å ivareta de formål som er beskrevet i Vedlegg 1 til dette bilaget. Ved nye behandlinger utover hva som fremgår av Vedlegg 1 skal Oppdragsgiver og KS utarbeide et nytt vedlegg som inngår i Vedlegg 1. Behandlingen skal skje i tråd med de rutiner og instrukser som Behandlingsansvarlig til enhver tid bestemmer, jf Vedlegg 1 til dette bilaget. Databehandler plikter å gi Behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og for øvrig bistå den Behandlingsansvarlig, slik at Behandlingsansvarlig kan oppfylle de krav som fremkommer i personopplysningsloven med forskrifter og EUs personvernforordning (EU) 2016/679 (herunder implementering av denne i norsk rett), slik denne fremkommer til enhver tid. Databehandler plikter å gi Behandlingsansvarlig tilgang til og innsyn i de personopplysningene som behandles og de systemene som benyttes til dette formålet. Databehandler plikter å gi nødvendig bistand til dette. Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.

Dersom Databehandler opptrer i samsvar med Behandlingsansvarliges rutiner og instrukser har Databehandler ikke noe ansvar for eventuelle brudd på personopplysningsloven eller - forskriften. 4. Taushetsplikt Databehandler skal ikke levere ut eller gi tilgang til personopplysningene til andre enn egne ansatte, egne databehandlere eller til ansatte hos Behandlingsansvarlig, uten at dette er avtalt skriftlig med Behandlingsansvarlig. Uten slik avtale skal Databehandler videresende enhver forespørsel til Behandlingsansvarlig eller henvise til denne. Databehandler skal innhente taushetserklæring fra egne ansatte og andre som gis tilgang til opplysningene. 5. Ivaretakelse av de registrertes rettigheter Databehandler skal ikke gi innsyn til registrerte eller etterkomme de registrertes anmodning om retting eller sletting av personopplysninger, uten at det er avtalt skriftlig med Behandlingsansvarlig. Uten slik avtale skal Databehandler videresende henvendelsen eller henvise den registrerte til Behandlingsansvarlig. 6. Informasjonssikkerhet Databehandler skal ved hjelp av planlagte og systematiske organisatoriske og tekniske tiltak sikre tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet i forbindelse med behandling av personopplysninger i henhold til personopplysningsloven 13 og kapittel 2 i personopplysningsforskriften, herunder gjennomføre tiltak for å: a) hindre tilfeldig eller ulovlig ødeleggelse eller tap av personopplysninger, uautorisert innsyn i eller utdeling av personopplysninger samt enhver annen bruk av personopplysninger som ikke er i samsvar med de instrukser som er gitt av Behandlingsansvarlig b) hindre uautorisert tilgang til fysiske lokasjoner og utstyr som brukes til behandling av personopplysninger på vegne av Behandlingsansvarlig c) sikre at tilgang til systemer og opplysninger kun gis til autoriserte medarbeidere ved behov d) hindre uautorisert tilgang til systemer og opplysninger e) registrere og loggføre eventuelle avvik, herunder loggføre og dokumentere eventuelle forsøk på autorisert tilgang eller andre brudd på sikkerhet. Slik dokumentasjon skal oppbevares i minst 3 måneder f) loggføre autorisert bruk av informasjonssystemet, og oppbevare loggen i minst 3 måneder g) hindre at Databehandlers medarbeidere eller systemer bevisst eller ubevisst medvirker til uønskede sikkerhetshendelser i Databehandlers egen virksomhet eller hos andre virksomheter eller privatpersoner

h) sørge for at egne ansatt og andre som gis tilgang til opplysningene er klar over hvilke forpliktelser som til enhver tid påhviler Databehandler etter denne avtalen og personopplysningsloven Databehandler skal dokumentere de tiltak som er iverksatt for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på Behandlingsansvarliges forespørsel. 7. Bruk av underleverandør Databehandler kan ikke helt eller delvis overlate behandlingen til en underleverandør, uten at dette på forhånd er avtalt skriftlig med Behandlingsansvarlig. Det er inngått tilsvarende databehandleravtale med de underleverandører som følger av Vedlegg 2. 8. Avvik Enhver bruk av informasjonssystemet som er i strid med Databehandlers rutiner, Behandlingsansvarliges instrukser, eller personopplysningsloven eller -forskriften, samt ethvert sikkerhetsbrudd, skal behandles som et avvik. Databehandler skal ha på plass rutiner og systematiske tiltak for å avdekke og følge opp avvik, herunder tiltak for å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentakelse. Databehandler skal, uten ugrunnet opphold og senest innen to dager etter at avviket ble oppdaget, rapportere avviket skriftlig til Behandlingsansvarlig. Rapporten skal omfatte en beskrivelse av avviket, opplysninger om hvilke tiltak Databehandler har gjort for å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentakelse. Databehandler skal også gi Behandlingsansvarlig alle nødvendige opplysninger for å kunne gi avviksmelding til Datatilsynet, besvare eventuelle spørsmål fra tilsynsmyndigheten og etterleve eventuelle pålegg fra tilsynsmyndigheten, herunder om varsling av de registrerte. Avviksmelding etter personopplysningsforskriftens 2-6 skal skje ved at Databehandler melder avviket til Behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet. 9. Sikkerhetsrevisjoner Behandlingsansvarlig skal avtale med Databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av denne avtalen. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak.

10. Avtalens varighet Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Ved brudd på denne avtale eller personopplysningsloven kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning 11. Ved opphør Ved opphør av denne avtalen plikter Databehandler å overlate alle personopplysninger som omfattes av denne avtalen til Behandlingsansvarlig, eller den som den Behandlingsansvarlige utpeker. Databehandler skal deretter slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier. Partene avtaler nærmere hvordan overføring eller sletting konkret skal skje. Databehandler skal skriftlig bekrefte at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør. 12. Meddelelser Meddelelser etter denne avtalen skal sendes skriftlig til de kontaktpersoner som er oppgitt i Vedlegg 3. 13. Lovvalg og verneting Denne Avtalen reguleres av norsk rett. Tvister som springer ut av avtalen skal søkes løst ved forhandlinger. Fører slike forhandlinger ikke frem innen to måneder, kan hver av partene forlange tvisten avgjort med endelig virkning ved norske domstoler. Verneting er Databehandlerens alminnelige verneting. Partene kan alternativt avtale at tvisten blir avgjort med endelig virkning ved voldgift i Norge i henhold til voldgiftslovens bestemmelser.

Denne avtalen er undertegnet i to eksemplarer hvor partene beholder ett eksemplar hver. *** For Databehandler Dato: 09.02.2018 Underskrift: navn med blokkbokstaver: Haakon Meland Eriksen For Oppdragsgiver: Dato: Underskrift: navn med blokkbokstaver:

Vedlegg 1.1 til Databehandleravtale Databehandler skal behandle personopplysninger på vegne av Behandlingsansvarlig i forbindelse med KS Læring 1. Behandlingens formål KS Læring er en e-læringsplattform ("Tjenesten") som Behandlingsansvarlig og ansatte i Behandlingsansvarlig ("Brukere") i henhold til særskilt avtale ("Avtalen") mellom Behandlingsansvarlig og Kommunesektorens organisasjon (KS) kan benytte seg av. Databehandlers oppgave er i denne forbindelse å legge til rette for at for at Brukere og Behandlingsansvarlig kan benytte seg av Tjenesten. Databehandler kan ikke behandle opplysningene for andre formål enn gjennomføring av Avtalen eller på annen måte enn det som er bestemt her. 2. Kretsen av registrerte Behandlingen omfatter personopplysninger om ansatte hos Behandlingsansvarlige og Brukere som benytter tjenesten "KS Læring". 3. Personopplysningstyper Behandlingen vil i alle tilfeller omfatte: Fødselsnumre Navn Kursresultater E-post IT logger (IP adr, tid for innlogging mv) Tid og dato for gjennomføring av kurs Kjønn For full bruk av løsningen vil behandlingen omfatte følgende informasjonselementer, enten disse overføres manuelt eller via automatisk integrasjon mellom KS Læring og Behandlingsansvarlig: Brukernavn Fødselsnummer Fornavn Etternavn E-post Arbeidssted Kommune Kommunesektor Kursresultater Org-strukturen for kommunen i sektorer og arbeidssteder Hvem som er ledere for hvert org-element og hvem som skal rapport-tilgang.

Fakturainformasjon for hvert org-element Hvem som har attesteringsrett (brukes ved kurspåmeldinger) Hvilke brukere som hører til i organisasjonen Hvilke brukere som arbeider på hvilke arbeidssteder og jobbroller de måtte ha der. Øvrige opplysninger som bruker Brukere selv legger inn i sin profil ved bruk av Tjenesten. 4. Opplysningskilder Det skal kun behandles personopplysninger som Behandlingsansvarlig eller Bruker selv oppgir gjennom bruk av Tjenesten eller som automatisk genereres ved bruk av Tjenesten. 5. Informasjon til de registrerte Databehandler skal sørge for at Bruker får informasjon om behandlingen av personopplysninger, i tråd med personopplysningsloven 19. Informasjonen gis i tilknytning til etablering av profil for Brukeren på en slik måte at det er lett synlig og tilgjengelig for Bruker, før behandlingen tar til. Dersom Behandlingsansvarlige oppretter brukerprofil basert på eksisterende opplysninger skal Behandlingsansvarlige informere Brukere om hvilke opplysninger som omfattes av behandlingen. 6. Sletting Opplysninger Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk registreringer av alle andre hendelser med betydning for informasjonssikkerheten Øvrige opplysninger Sletting Slettes etter utløp av lovpålagt oppbevaringsfirst på minst 3 måneder iht personopplysningsforskriften 2-16 Slettes etter nærmere instruks fra Behandlingsansvarlig. Ved implementering av EU's personvernforordning (EU 2016/679) i norsk rett skal det sikres funksjonalitet som sikrer "rett til å bli glemt"

Vedlegg 2 til Databehandleravtale 1. Databehandlers bruk av underleverandører Det er inngått avtale med følgende underleverandører: Kommuneforlaget AS for drift av applikasjonen KS Læring. Kommuneforlaget har databehandleravtale med sin underleverandør Amazon. Datalagringen foregår innenfor EU/EØS, og personopplysningene vil ikke bli overført utenfor EU/EØS. Catalyst IT Europe Limited for utvikling av applikasjonen KS Læring. Kommuneforlaget AS for brukerstøtte til KS Læring. Difi for bruk av ID-porten til innlogging i KS Læring. Telemark kompetanse AS for spredning av KS Læring.

Vedlegg 3 til Databehandleravtale Kontaktpersoner For kontaktpersoner i henhold til Databehandleravtalen vises det til "SSA-B KS og Telemark kompetanse AS bistandsavtale om KS Læring", som også er kontaktpersoner i henhold til Databehandleravtalen.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding