Databehandleravtale. mellom. Navn på skoleeier: Org. nr.: (behandlingsansvarlig)

Like dokumenter
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Databehandleravtale for NLF-medlemmer

DATABEHANDLERAVTALE vedrørende nettjenesten

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale. mellom. Kunden (behandlingsansvarlig) Devinco AS (databehandler)

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Registrerte og personopplysninger som behandles

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale. Digitale løsninger og GDPR (General Data Protection Regulation)

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Databehandleravtale etter personopplysningsloven

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Bilag 14 Databehandleravtale

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtaler

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

POWEL DATABEHANDLERAVTALE

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Mikromarc, Bibliofil, ebokbib og GDPR (General Data Protection Regulation)

Databehandleravtale etter personopplysningsloven

DATABEHANDLERAVTALE. 1. Bakgrunn

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

For å gi låner tilgang til biblioteket utenom vanlig åpningstid. Dato for avtale om tilgang For sporing av adgangsavtalen

Sikkerhet og personvern i skole og klasserom

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Databehandleravtale etter personopplysningsloven

Personvern - sjekkliste for databehandleravtale

Databehafiileravtale ' ---

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Skytjenester. Forside og Databehandleravtale. Telenor Norge

BILAG 1 DATABEHANDLERAVTALE

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Databehandleravtaler. Tommy Tranvik Unit

(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og

Databehandleravtale etter personopplysningsloven m.m

KUNDEN, slik angitt i ordrebekreftelse fra, eller annen avtale med, ABAX (Behandlingsansvarlig, heretter "Kunden")

Lagring av forskningsdata i Tjeneste for Sensitive Data

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Databehandleravtale. Etter den nye personvernloven og EUs personvernforordning (GDPR) av 25. mai mellom. Arrangøren Behandlingsansvarlig

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Personvernerklæring for Søknadsweb

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Personvernerklæring for Søknadsweb

Diabetesforbundet. Personvernerklæring

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Lagring av forskningsdata i Tjeneste for

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Retningslinjer for databehandleravtaler

3 Omfattede typer av personopplysninger og kategorier av registrerte

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Personvernerklæring for Søknadsweb

Personvernerklæring for Flyt Høgskolen i Molde

Databehandler. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

GDPR Prosjektgjennomføring Sjekkliste

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Transkript:

Databehandleravtale I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016 (GDPR), artikkel 28, jf. artikkel 29 og 32-36, inngås følgende avtale mellom Navn på skoleeier:.. Org. nr.: (behandlingsansvarlig) og Navn på tjenesteleverandøren: Nasjonalt senter for læringsmiljø og atferdsforskning ved Universitetet i Stavanger Org. nr.: 971 564 679 (databehandler) 1

1. Avtalens hensikt Avtalens hensikt er å regulere rettigheter og plikter i henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF (GDPR). Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet. Avtalen regulerer databehandlers forvaltning av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med bruk av Spekter. Ved motstrid skal vilkårene i denne avtalen gå foran databehandlers personvernerklæring eller vilkår i andre avtaler inngått mellom behandlingsansvarlig og databehandler i forbindelse med bruk av Spekter. 2. Formålsbegrensning Formålet med databehandlers forvaltning av personopplysninger på vegne av behandlingsansvarlig, er å levere, og administrere Spekter. Formålet med Spekter er å trygge den enkelte elev sin skolehverdag, Spekter kan brukes som et pedagogisk kartleggingsverktøy for lærere til å avdekke om elever har et trygt og godt skolemiljø. For eksempel er behandling av personopplysninger i Spekter nødvendig for: - at løsningen skal fungere på en sikker måte (autentisering gjennom FEIDE). - å gi elevene persontilpasset opplevelse når de gjennomfører den ikke anonyme undersøkelsen, Spekter. - å identifisere elevene ved f.eks. utforming av sosiogram og tabellvisning. - å forebygge, avdekke og løse mobbesaker. Personopplysninger som databehandler forvalter på vegne av behandlingsansvarlig kan ikke brukes til andre formål enn levering og administrasjon av Spekter uten at dette på forhånd er godkjent av behandlingsansvarlig. Databehandler kan ikke overføre personopplysninger som omfattes av denne avtalen til samarbeidspartnere eller andre tredjeparter uten at dette på forhånd er godkjent av behandlingsansvarlig, jf. punkt 10. Underleverandører og 11. Overføring til land utenfor EU/EØS i denne avtalen. 2

3. Instrukser Databehandler Læringsmiljøsenteret som databehandler skal følge de skriftlige og dokumenterte instrukser for forvaltning av personopplysninger i Spekter som behandlingsansvarlig har bestemt skal gjelde. Ved behandling av personopplysninger i Spekter forplikter databehandler seg til å overholde alle plikter i henhold til gjeldende norsk personopplysningslovgivning. Databehandler forplikter seg til å varsle behandlingsansvarlig dersom databehandler mottar instrukser fra behandlingsansvarlig som er i strid med bestemmelsene i gjeldende norsk personopplysningslovgivning. Behandlingsansvarlig Ved bruk av Spekter forplikter skoleeier som behandlingsansvarlig seg til å overholde alle plikter i henhold til gjeldende norsk personopplysningslovgivning. Behandlingsansvarlig skal uten ugrunnet opphold varsle databehandler om forhold behandlingsansvarlig forstår eller bør forstå kan få betydning for tjenestens gjennomføring. 4. Opplysningstyper og registrerte Når digitalt Spekter gjennomføres på en skole som abonnerer på tjenesten, hentes det inn noen personopplysninger fra Feide. Typer personopplysninger som databehandler forvalter fra Feide på vegne av behandlingsansvarlig i forbindelse med levering og administrasjon av digitalt Spekter: Personens navn (cn) Visningsnavn (displayname) Roller (edupersonaffiliation) Organisasjonens foretaksnavn (edupersonorgdn:eduorglegalname) Organisasjonens e-post (edupersonorgdn:mail) Organisasjonsnummer (edupersonorgdn:noreduorgnin) Navn på organisasjon (edupersonorgdn:o) Organisasjonsenhetens unike identifikasjonsnummer (edupersonorgunitdn:noreduorgunituniqueidentifier) Personens rolle, elev/lærer (edupersonprimaryaffiliation) Personens Feide-ID (edupersonprincipalname) Skoletilhørighet (feideschoollist) Fødselsdato (feideyearofbirth) Fornavn (givenname) E-post (mail) 3

Personens formelle navn (noredupersonlegalname) Etternavn (sn) Brukernavn (uid) Språk (preferredlanguage) Attributtene fra FEIDE er nødvendige for å sikre at en bruker er unik, identifisere rolle og lignende på brukerne, og muligheten for å vise frem en bruker visuelt. Oversikt over typer personopplysninger som blir lagret om historikk og bruk av tjenesten: Bruker (innloggingsinformasjon) IP-adresse Tidspunkt (opprettelse av undersøkelse, start på undersøkelse o.l.) Personopplysninger gjelder følgende registrerte: Elever (Kun elever som legges inn i Spekter av lærer. Elev må logge seg på Spekter og samtykke til at personopplysninger kan hentes fra Feide ved første innlogging). Lærere (Kun lærere som logger seg inn på Spekter med Feide-pålogging). Spekter er et ikke-anonymt digitalt verktøy for lærere, som brukes til å avdekke mobbing og kartlegge læringsmiljøet i en skoleklasse. Læringsmiljøsenteret forvalter derfor den registrerte, eleven, sin besvarelse i digitalt Spekter. Elevenes besvarelser genererer sosiogram og tabellvisning. Informasjonskapsler: Databehandler benytter informasjonskapsler til å lagre innloggingsdetaljer og bedre brukeropplevelsen. Vi lagrer aldri informasjon som kan identifisere deg personlig. 5. De registrertes rettigheter Databehandler plikter å bistå behandlingsansvarlig ved ivaretakelse av den registrertes rettigheter i henhold til gjeldende norsk personopplysningslovgivning. Den registrertes rettigheter kan inkludere retten til informasjon om: - hvordan hans eller hennes personopplysninger behandles, - retten til å kreve innsyn i egne personopplysninger, - retten til å kreve retting eller sletting av egne personopplysninger og - retten til å kreve at behandlingen av egne personopplysninger begrenses. I den grad det er relevant, skal databehandler bistå behandlingsansvarlig med å ivareta de registrertes rett til dataportabilitet og retten til å motsette seg automatiske avgjørelser, inkludert profilering. Retten til dataportabilitet vil mest sannsynlig ikke være aktuell for behandlingsansvarlig da det er en rett som først inntrer hvis det 4

rettslige grunnlaget for behandlingen er samtykke, jf. GDPR artikkel 6 nr. 1 bokstav a) eller oppfyllelse av en avtale, jf. GDPR artikkel 6 nr. 1 bokstav b). Databehandler er erstatningsansvarlig overfor de registrerte dersom feil eller forsømmelser hos databehandler påfører de registrerte økonomiske eller ikkeøkonomiske tap som følge av at deres rettigheter eller personvern er krenket. 6. Tilfredsstillende informasjonssikkerhet Databehandler skal iverksette tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet. Databehandler skal dokumentere egen sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, risikovurderinger og etablerte tekniske, fysiske eller organisatoriske sikringstiltak, herunder taushetserklæringer for egne ansatte, se punkt 7. Taushetsplikt. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig. Databehandler skal etablere kontinuitets- og beredskapsplaner for effektiv håndtering av alvorlige sikkerhetshendelser. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig. Databehandler skal gi egne ansatte tilstrekkelig informasjon om og opplæring i informasjonssikkerhet slik at sikkerheten til personopplysninger som behandles på vegne av behandlingsansvarlig blir ivaretatt. Databehandler skal dokumentere opplæringen av egne ansatte i informasjonssikkerhet. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig. Databehandler benytter to servere som er lokalisert ved IT-avdelingen ved Universitet i Stavanger som fysisk lagrer dataene (personopplysninger). ITavdelingen er sertifisert i henhold til ISO 27001 og ISO 9001. IT-avdelingen gjennomfører årlig revisjon i henhold til ISO 27001. Databehandler gjennomfører regelmessig risiko- og sårbarhetsanalyse for å sikre personopplysninger som blir lagret i Spekter sammen med underleverandør og ITavdelingen. 7. Taushetsplikt Taushetspliktbestemmelsene i lov om behandlingsmåten i forvaltningssaker 10. februar 1967 (forvaltningsloven) kommer til anvendelse for databehandler og eventuelle underleverandører. Kun ansatte hos databehandler som har tjenstlige behov for tilgang til personopplysninger som forvaltes på vegne av behandlingsansvarlig, skal gis slik tilgang. Databehandler plikter å dokumentere retningslinjer og rutiner for 5

tilgangsstyring, herunder sørge for at egne ansatte undertegner en taushetserklæring. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig. Ansatte hos databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter ansatte hos tredjeparter som utfører vedlikehold (eller liknende oppgaver) av systemer, utstyr, nettverk eller bygninger som databehandler anvender for å levere eller administrere Spekter. Norsk lov vil kunne begrense omfanget av taushetsplikten for ansatte hos databehandler og tredjeparter. 8. Tilgang til sikkerhetsdokumentasjon Databehandler plikter å gi behandlingsansvarlig tilgang til all sikkerhetsdokumentasjon som er nødvendig for at behandlingsansvarlig skal kunne ivareta sine forpliktelser i henhold til gjeldende norsk personopplysningslovgivning. Databehandler plikter å gi behandlingsansvarlig tilgang til annen relevant dokumentasjon som gjør det mulig for behandlingsansvarlig å vurdere om databehandler overholder vilkårene i denne avtalen. Ansatte hos behandlingsansvarlig har taushetsplikt for konfidensiell sikkerhetsdokumentasjon som databehandler gjør tilgjengelig for behandlingsansvarlig. 9. Varslingsplikt ved sikkerhetsbrudd Databehandler skal uten ubegrunnet opphold varsle behandlingsansvarlig dersom personopplysninger som forvaltes på vegne av behandlingsansvarlig utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de registrertes personvern. Varslet til behandlingsansvarlig skal som minimum inneholde informasjon som: - beskriver sikkerhetsbruddet, - hvilke registrerte som er berørt av sikkerhetsbruddet, - hvilke personopplysninger som er berørt av sikkerhetsbruddet, - hvilke strakstiltak som er iverksatt for å håndtere sikkerhetsbruddet og - hvilke forebyggende tiltak som eventuelt er etablert for å unngå liknende hendelser i fremtiden. Behandlingsansvarlig er ansvarlig for at varsler om sikkerhetsbrudd fra databehandler blir videreformidlet til Datatilsynet eller de registrerte. 6

10. Underleverandører Databehandler plikter å inngå egne avtaler med underleverandører til Spekter som regulerer underleverandørenes forvaltning av personopplysninger i forbindelse med levering og administrasjon av Spekter. I avtaler mellom databehandler og underleverandører skal underleverandørene pålegges å ivareta alle plikter som databehandleren selv er underlagt i henhold til denne avtalen. Databehandler plikter å forelegge avtalene for behandlingsansvarlig etter forespørsel. Databehandler skal kontrollere at underleverandører til Spekter overholder sine avtalemessige plikter, spesielt at informasjonssikkerheten er tilfredsstillende og at ansatte hos underleverandører er kjent med sine forpliktelser og oppfyller disse. Behandlingsansvarlig godkjenner at databehandler engasjerer følgende underleverandører i forbindelse med levering og administrasjon av Spekter: Bouvet Norge AS (org. nr.: 996 756 246), Strandkaien 36, 4005 Stavanger Databehandler kan ikke engasjere andre underleverandører enn de som er nevnt ovenfor uten at dette på forhånd er godkjent av behandlingsansvarlig. Databehandler er erstatningsansvarlig overfor behandlingsansvarlig for økonomiske tap som påføres behandlingsansvarlig og som skyldes ulovlig eller urettmessig behandling av personopplysninger eller mangelfull informasjonssikkerhet hos underleverandører til Spekter. 11. Overføring til land utenfor EU/EØS Databehandler leverer ikke personopplysningene i Spekter til andre parter/virksomheter eller til andre land utenfor EU/EØS. 12. Sikkerhetsrevisjoner og konsekvensutredninger Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner av informasjonssikkerheten i Spekter. Sikkerhetsrevisjoner skal omfatte databehandlers sikkerhetsmål og sikkerhetsstrategi, sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, etablerte tekniske, fysiske og organisatoriske sikringstiltak og arbeidet med informasjonssikkerhet hos underleverandører til Spekter. Det skal i tillegg omfatte rutiner for varsling av behandlingsansvarlig ved sikkerhetsbrudd og rutiner for testing av beredskaps- og kontinuitetsplaner. Databehandler skal dokumentere sikkerhetsrevisjonene. Behandlingsansvarlig skal gis tilgang til revisjonsrapportene. 7

Dersom en uavhengig tredjepart gjennomfører sikkerhetsrevisjoner hos databehandler, skal behandlingsansvarlig informeres om hvilken revisor som benyttes og få tilgang til oppsummeringer av revisjonsrapportene. Databehandler skal bistå behandlingsansvarlig dersom bruk av Spekter medfører at behandlingsansvarlig har plikt til å utrede personvernkonsekvenser, jf. GDPR artikkel 35 og 36. Databehandler kan bistå behandlingsansvarlig ved iverksetting av personvernfremmende tiltak dersom konsekvensutredningen viser at dette er nødvendig. 13. Tilbakelevering og sletting Ved opphør av denne avtalen plikter databehandler å slette og tilbakelevere alle personopplysninger som forvaltes på vegne av behandlingsansvarlig i forbindelse med levering og administrasjon av Spekter. Behandlingsansvarlig bestemmer hvordan tilbakelevering av personopplysningene skal skje, herunder hvilket format som skal benyttes. Databehandler skal slette personopplysninger fra alle lagringsmedier som inneholder personopplysninger som databehandler forvalter på vegne av behandlingsansvarlig. Sletting skal skje ved at databehandler skriver over personopplysninger innen 30 dager etter avtalens opphør. Dette gjelder også for sikkerhetskopier av personopplysningene. Databehandler skal dokumentere at sletting av personopplysninger er foretatt i henhold til denne avtalen. Dokumentasjonen skal gjøres tilgjengelig for behandlingsansvarlig. Databehandler dekker alle kostnader i forbindelse med tilbakelevering og sletting av de personopplysninger som omfattes av denne avtalen. 14. Mislighold Ved mislighold av vilkårene i denne avtalen som skyldes feil eller forsømmelser fra databehandlers side, kan behandlingsansvarlig si opp avtalen med øyeblikkelig virkning. Databehandler vil fortsatt være pliktig til å tilbakelevere og slette personopplysninger som forvaltes på vegne av behandlingsansvarlig i henhold til bestemmelsene i punkt 13. Tilbakelevering og sletting ovenfor. Behandlingsansvarlig kan kreve erstatning for økonomiske tap som feil eller forsømmelser fra databehandlers side, inkludert mislighold av vilkårene i denne avtalen. 8

15. Avtalens varighet Denne avtalen gjelder så lenge databehandler forvalter personopplysninger på vegne av behandlingsansvarlig. I tillegg til denne avtale er det inngått en avtale mellom bestiller og databehandler som regulerer avtalens varighet, og bestiller og databehandlers rettigheter og plikter i forbindelse med tilgang til Spekter. 16. Kontaktinformasjon Alle henvendelser vedrørende denne avtalen rettes til: Hos behandlingsansvarlig: Navn: E-post: Tlf. nummer: Hos databehandler: Lilja N. Jakobsen/Ann Kristin Kolstø- Johansen spekter@uis.no 51 83 29 76 17. Lovvalg og verneting Avtalen er underlagt norsk rett og partene vedtar Stavanger tingrett som verneting. Dette gjelder også etter opphør av avtalen. Denne avtale er i 2 to eksemplarer, hvorav partene har hvert sitt. På vegne av databehandler: På vegne av behandlingsansvarlig: Nasjonalt senter for læringsmiljø og atferdsforskning Postboks 8600 Forus 4036 Stavanger Dato: Signatur: Dato: Signatur: Navn og stilling: Navn og stilling: Senterleder 9

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding