Databehandleravtale. Charlotte Lindberg Difi

Like dokumenter
KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Personvernforordningens krav til bruk av databehandlere

DATABEHANDLERAVTALE. 1. Bakgrunn

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Personopplysningsvern med ProFundo som databehandler

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Wolters Kluwer Norge AS Østensjøveien Oslo

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Registrerte og personopplysninger som behandles

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

KUNDEN, slik angitt i ordrebekreftelse fra, eller annen avtale med, ABAX (Behandlingsansvarlig, heretter "Kunden")

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

Bilag 14 Databehandleravtale

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Personvern i skyen Medlemsmøte i Cloud Security Alliance

3 Omfattede typer av personopplysninger og kategorier av registrerte

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Del 2. Fagdag GDPR - Arkiv Troms

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

DATABEHANDLERAVTALE vedrørende nettjenesten

Personvern - sjekkliste for databehandleravtale

DATABEHANDLERAVTALE. 1.3 Denne Databehandleravtalen erstatter alle tidligere avtaler og bestemmelser Partene imellom hva gjelder personvern.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Krav til informasjonssikkerhet i nytt personvernregelverk

REKRUTTERING OG GDPR

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Databehandleravtaler

GDPR - PERSONVERN. Advokat Sunniva Berntsen

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Databehandler. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Databehandleravtale for NLF-medlemmer

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Retningslinjer for databehandleravtaler

GDPR Hva, hvordan og når

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Avtale om kommunens bruk av Modia arbeidsrettet oppfølging til behandling av personopplysninger etter sosialtjenesteloven. Databehandleravtale.

Databehandleravtale. Etter den nye personvernloven og EUs personvernforordning (GDPR) av 25. mai mellom. Arrangøren Behandlingsansvarlig

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

AVTALE OM [sett inn navn på oppdrag/tjeneste] Mal for Databehandleravtale. Arbeids- og velferdsetaten (NAV) [Virksomhetens navn]

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

POWEL DATABEHANDLERAVTALE

Databehandleravtale etter personopplysningsloven

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Kunden er behandlingsansvarlig Unifaun er databehandler

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Personvern i Amento AS

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Policy for personvern

Nytt personvernregelverk på 1-2-3

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

Personvern - vurdering av personvernkonsekvenser - DPIA

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale etter personopplysningsloven m.m

Instruks for personvernombud ved OsloMet

Databehandleravtale for Visma Avendo Webtime

Databehandleravtale. Mellom. Den behandlingsansvarlige: [Navn] [organisasjonsnummer] [Adresse] [Postnummer og sted] Databehandleren

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I DE DIGITALE TJENESTENE FOR DE KOMMUNALE SOSIALE TJENESTENE. Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Nye personvernregler (GDPR)

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Databehandleravtale. Denne avtalen er inngått mellom

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Transkript:

Databehandleravtale Charlotte Lindberg Difi

Hvorfor er denne avtalen så viktig? En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger. GDPR Personopplysninger

Når må du en databehandleravtale? En databehandleravtale eller lignende er et krav jf. GDPR ved behandling av personopplysninger som utføres av databehandler på vegne av behandlingsansvarlige Plikten til å regulere databehandlerens behandling av opplysninger påhviler både BA og DB Handler DB uten instruks blir denne selv behandlingsansvarlig Derfor i alles interesse å sørge for tilfredsstillende regulering

Hvorfor er dette så viktig for skytjenester? Skytjenester er en samlebetegnelse for alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. Mange eksterne serverparker står utenfor Norges grenser. Målet er å få på plass en databehandleravtale som er i samsvar med norsk lovgivning Du må også vite hvilke land data kan aksesseres fra.

BA og DB!!!!!!!!! Det er viktig at du kjenner din rolle i forbindelse med en behandling!!!!!!!! Behandlingsansvarlig eller databehandler???? Behandlingsansvarlig Behandlingsansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett. - Personvernforordningen artikkel 4 nr. 7 Databehandler En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. - Personvernforordningen artikkel 4. nr. 8

Roller til BA og DB Den behandlingsansvarlige er det primære pliktsubjektet etter forordningen, og er overordnet ansvarlig for å overholde personvernprinsippene og regelverket. Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, ha et behandlingsgrunnlag, behandle personopplysningene på en sikker måte og sikre at de registrerte får utøvd sine rettigheter Den behandlingsansvarlige må derfor sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Den behandlingsansvarlige må kunne vise at den opptrer i samsvar med reglene. Databehandler behandler personopplysninger på vegne av andre Databehandleren behandler alltid personopplysningene etter instruks fra en annen virksomhet og kan derfor ikke bestemme formål og andre avgjørende elementer ved behandlingen En databehandler har med andre ord fått delegert en oppgave om å behandle personopplysninger fra en behandlingsansvarlig. Man kan være databehandler selv om man ikke kan se personopplysningene som behandles, eller gjør noe aktivt med dem. Det kan være nok at personopplysningene lagres på et system for at det er en databehandlerrelasjon.

Roller til BA og DB BA DB forhold databehandleravtale BA BA forhold behandlingsgrunnlag for utlevering av opplysningene

Når behandler vi personopplysninger? Når foreligger det et databehandleroppdrag og hvem er databehandler og behandlingsansvarlig? 1. Noen må faktisk behandle personopplysninger på andres vegne 2. Oppdraget må gå ut på rent faktisk å behandle personopplysninger Altså: En virksomhet må f.eks. lagre, samle inn, utlevere eller slette personopplysninger på vegne av en annen virksomhet og at formålet går ut på å behandle disse opplysninger.

BA eller DB? Momenter du kan vektlegge: Personopplysningene behandles kun til dine formål. Det er du som er overordnet ansvarlig for å overholde personvernregelverket. Den andre parten behandler opplysninger på vegne av deg og har ikke bestemmelsesrett over opplysningene. Den andre parten er en ekstern virksomhet separat fra deg. Loven eller lignende pålegger deg å behandle visse personopplysninger. En avtale mellom deg og en annen part inneholder en direkte eller indirekte instruks om å behandle personopplysninger (motsatt: avtalen omhandler levering av et annet type oppdrag eller tjeneste). Du kan instruere den andre parten om hvordan personopplysningene skal behandles. Den andre parten kan bare lovlig behandle opplysningene etter instruks fra deg, og kan ikke bruke opplysningene til egne formål. Det er du som bestemmer formål og de avgjørende hjelpemidlene for hvordan opplysningene skal behandles. Du kan kontrollere at den andre parten behandler opplysningene som avtalt. Personene du behandler personopplysninger om har en berettiget forventning om at du er behandlingsansvarlig. Du kan kreve at den andre parten sletter eller tilbakeleverer opplysningene.

Bakgrunn for databehandleravtalen(difi) Avtalen er basert på det danske datatilsyn sin databehandleravtale Den er oversatt og gjennomarbeidet i samarbeid med Kjersti Jensen i Oslo Kommune og ressurser fra Difi Den ligger til på høring nå her: Databehandleravtalen er beregnet på bruk, sammen med SSA-ene Målet med databehandleravtalen er at den skal leve opp til personvernforordningens minimum krav i art. 28, være praktisk anvendelig og gjøre partenes roller og ansvar klart.

Databehandleravtalen (difi) Databehandleravtalen er oppdelt i 2 deler: 1. Den generelle avtale tekst 2. Bilag 1. Bilag A Nærmere opplysninger om behandlingen 2. Bilag B Betingelser for bruk av underdatabehandlere 3. Bilag C Instruks, sikkerhetstiltak og tilsyn

Minimumskrav til en databehandleravtale jf. art. 28: a. Databehandleren behandler på instruks, kapitel 4 og 10 b. Konfidensialitet og taushetsplikt, kapitel 5 c. Sikkerhet i behandlingen i henhold til art. 32, kapitel 3 og 6. a. Databehandlerens ansvar b. Egnet sikkerhetsnivå c. Sikkerhetstiltak d. Tekniske utviklingen e. Kostnader f. Behandlingens art, omfang, formål og sammenheng og hvilke opplysninger g. Særlige konkrete tiltak h. Risikovurdering i. Atferdsnormer

Fortsatt Minimumskrav til en databehandleravtale jf. art. 28: d. Stk. 2 og 4. Kapitel 9, Bruk av underdatabehandlere e. Bistand til den behandlingsansvarlige, Kapitel 7 Plikten til å bistå med å svare på henvendelse fra den registrerte (d) Plikt til å bistå med å etterleve krav til informasjonssikkerhet g. Sletting og tilbakelevering av opplysninger, Kapitel 12 h. Revisjon og inspeksjon

Databehandleravtalen(difi) Overordnede krav til den behandlingsansvarlige Inngå en databehandleravtale som lever opp til GDPRs minimums krav Foreligger dokumentert instruks Kun benytte databehandlere som kan stille fornødne garantier for de kan gjennomføre passende tekniske og organisatoriske tiltak, slik at behandlingen oppfyller kravene i GDPR og sikre beskyttelse av den registrertes rettigheter Er direkte ansvarlig for overholdelsen av GDPR og for å dokumentere overholdelsen

Databehandleravtalen(difi) Overordnede krav til den databehandler Kun behandle opplysninger på dokumentert instruks Avgjør DB formål og eventuelle hjelpemidler i forbindelse med behandlingen, kan denne bli å anse som BA med de forpliktelser som dette medfører DB er direkte forpliktet til: Ikke å benytte underdatabehandler uten forutgående godkjennelse fra BA (art. 28 stk. 2) Samarbeide med relevante tilsynsmyndigheter (art. 31) Sikre nødvendig sikkerhet i behandlingen (art. 32) Å føre protokoll over behandlingsaktiviteter med mindre DB er fritatt for dette (art. 30 stk. 5) Protokoll plikt hvis over 250 ansatte Underrette uten ugrunnet opphold om eventuelle brudd på databehandleravtalen eller personopplysningssikkerheten

bilagene Vi ser på bilagene

Til syvende og sist er det opp til den behandlingsansvarlige å vurdere om databehandleren gir tilfredsstillende garantier sett i sammenheng med personopplysningene som skal behandles.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding