Databehandleravtale. Denne avtalen er inngått mellom



Like dokumenter
Bilag 14 Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

heretter kalt Operatøren.

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale for NLF-medlemmer

Personvern - sjekkliste for databehandleravtale

Avtale mellom. om elektronisk utveksling av opplysninger

Bilag 8 til Avtale om «Jobb og muligheter» med leveringssted i Sandvika. Databehandleravtale

Endelig kontrollrapport

Databehandleravtaler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

BILAG 1 DATABEHANDLERAVTALE

Databehandleravtale mellom Oslo universitetssykehus HF (org nr ) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Endelig kontrollrapport

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale etter personopplysningsloven

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale. Charlotte Lindberg Difi

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Retningslinjer for databehandleravtaler

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Deres referanse Vår referanse Dato / /EOL

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Databehandleravtale etter personopplysningsloven

Databehandleravtale. mellom. Kvinnherad kommune (Databehandlingsansvarlig) 13 ('" Helse Fonna HF (Databehandler) ***

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Endelig kontrollrapport

Databehandleravtale etter personopplysningsloven m.m

Innføring av og bruk av databehandleravtale for tiltaksarrangører som leverer arbeidsrettede tiltak til NAV.

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Databehandleravtale digitale arkiv og uttrekk for deponering

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Informasjon interesseorganisasjoner

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Endelig kontrollrapport

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Personvern og informasjonssikkerhet

BILAG 1 PRINSIPPSKISSE FOR TJENESTEN. Bilag til Tilslutningsavtale for Mediasite

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Forvaltningssystem for skatteinnkreving (Sofie) Kontrollstøttesystem(Koss) Løsning for dokumenthåndtering (F-Dok) Avtale mellom

Arkiv skal ikkje førast ut or landet

Databehandleravtale for forskningsprosjekt mellom (org nr...) og Akershus universitetssykehus HF (org nr )

POWEL DATABEHANDLERAVTALE

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Transkript:

Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407 MVA, med forretningsadresse Dronningens gate 40, 0154 Oslo, og postboks 1030 Sentrum, 0104 Oslo som kjøper av tjenester og behandlingsansvarlig (heretter benevnt som behandlingsansvarlig) Versjon 1.1

Innholdsfortegnelse: Databehandleravtale... 1 1. Bakgrunn... 3 2. Definisjoner... 3 3. Formål... 3 4. Roller og oppgaver... 3 5. Databehandlers plikter... 4 6. Videreformidling av opplysninger... 4 7. Taushetsplikt... 5 9. Kontroll og rapportering... 5 10. Mislighold... 6 11. Varighet og oppsigelse... 6

1. Bakgrunn Det vises til kontrakt om.. Databehandleravtalen utgjør Vedlegg 8 til hovedkontrakten og har samme varighet som denne. I forbindelse med oppdraget gis det tilgang til følgende opplysningstype: - Grunndata - Rapporter på sjåføroppgjør fra Ruter - Rapporter fra SIS for å utføre Operatør selger busstjenester på ruteområdet angitt i Kontrakten for befordring av Oppdragsgivers kollektivkunder i en periode på 7 år med mulighet for 3 år opsjon med ett år av gangen. 2. Definisjoner Det vises til definisjoner i hovedavtalen, i tillegg gjelder følgende definisjoner i denne avtalen: Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige (selger av tjenesten i denne avtalen). Virksomhetskritiske opplysninger: Opplysninger som er av sentral betydning for Oppdragsgivers virksomhet, for eksempel strategier, kontrakter, regnskapstall og lignende dokumenter. Personopplysninger: Alle opplysninger som direkte eller indirekte omhandler personer, herunder data som gjør kobling til slike opplysninger mulig. 3. Formål Denne avtalen regulerer rettigheter og plikter for partene i forbindelse med databehandlers behandling av personopplysninger for den behandlingsansvarlige. Avtalen gjelder tilsvarende så langt den passer for behandling av virksomhetskritiske opplysninger. 4. Roller og oppgaver Ruter er behandlingsansvarlig og bestemmer over bruken av de opplysningene som omfattes av denne avtale. Ruter er som behandlingsansvarlig bl.a. ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene og at

den aktuelle behandling er i overensstemmelse med gjeldende lovgivning, i henhold til det som er avtalt med den enkelte kunde. Databehandler behandler personopplysninger på vegne av Ruter. Databehandleren er i tillegg ansvarlig at databehandlerens egen behandling av personopplysninger er i samsvar med personvernlovgivningen. 5. Databehandlers plikter Databehandler skal påse at alle personopplysninger blir behandlet i overensstemmelse med inngått avtale med den behandlingsansvarlige, jf personopplysningsloven 15. Personopplysningene skal ikke benyttes på annen måte eller til annet formål enn hva som er avtalt med den behandlingsansvarlige. Behandlingen skal skje i samsvar med reglene i den til enhver tid gjeldende personopplysningslov og forskrift og på den måten som den behandlings - ansvarlige til enhver tid fastsetter, se Vedlegg 9 Reglement for behandling av person og virksomhetskritiske opplysninger i Ruter. Databehandleren skal ivareta alle sine plikter og gjennomføre sikringstiltak for å trygge informasjonssikkerheten slik dette er beskrevet i personopplysningsloven, jf personopplysningsloven 15 og 13 med tilhørende forskrifter. Databehandleren må derfor bl.a. selv sørge for å ha forsvarlig sikring av servere, database og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til person- eller virksomhetskritiske opplysninger. Databehandleren skal videre ha et styringssystem for sikkerhet iht personopplysningsforskriften, som omfatter men ikke avgrenses til nedenstående rutiner for: Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet herunder sikkerhetsbrudd. Sikkerhetsrevisjon som omfatter jevnlig oversendelse av de deler av rapporter fra sikkerhetsrevisjoner. Ledelsens gjennomgang av sikkerhetsarbeidet. Gjennomføring av årlige revisjoner av virksomheten. Databehandleren skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for. 6. Videreformidling av opplysninger Databehandler kan ikke benytte seg av de opplysninger som han får tilgang til under utførelsen av oppdraget, til egne formål og opplysningene kan ikke overføres til egen eller annen virksomhet. Personopplysningene kan heller ikke overlates til andre for lagring eller bearbeidelse, jf personopplysningsloven 15.

7. Taushetsplikt Databehandlerens ansatte har taushetsplikt om alle virksomhetskritiske opplysninger og personopplysninger de får kjennskap til gjennom utførelsen av tjenesten. Taushetsplikten skal være fastsatt i en egen erklæring, eller arbeidskontrakten. Den ansatte, som til vanlig skal behandle slike opplysninger i bedriften, er autorisert til slik behandling ved undertegnelsen av et slikt dokument. Taushetsplikten gjelder også etter at avtalen er opphørt. Ansatte og andre som fratrer sin tjeneste hos databehandleren skal pålegges taushet også etter fratredelse. 8. Sletting av opplysninger Person og virksomhetskritiske opplysninger skal lagres så lenge den behandlingsansvarlige finner det nødvendig, og ikke utover den periode som er avtalt mellom partene. Når behandlingsansvarlig ikke lenger finner lagring er nødvendig etter Personopplysningsloven, skal personopplysningene slettes umiddelbart. 9. Kontroll og rapportering Den behandlingsansvarlige kan til enhver tid kreve den tilgang til informasjon og den adgang til områder og utstyr hos virksomheten som er nødvendig for å forsikre seg om at den behandlingsansvarlige oppfyller vilkårene i avtalen, bl a gjennom sikkerhetsrevisjoner for å forsikre seg om at sikkerhetsbestemmelsene i personopplysningsloven og personopplysningsforskriften er oppfylt. Herunder skal behandlingsansvarlig gis tilgang til kontroll på hvordan opplysningene blir håndtert, og skal få tilgang til server, område eller mappe, samt tilknyttede loggfiler og lignende, hvor eventuelle opplysningene blir lagret. Tredjepart kan benyttes for gjennomføring av revisjoner. Databehandleren skal rapportere jevnlig om feil og avvik fra behandlingen. Manglende rapportering vil utløse gebyrer i henhold til kontraktens vedlegg 6 Incitamentsavtale. Det foretas en egen kontroll innen den 1. mai hvert år, som viser hvordan håndteringen av person og virksomhetskritiske opplysninger er håndtert under utførelsen av oppdraget. Resultatet av egenkontrollen skal rapporteres til den behandlingsansvarliges kontaktperson.

10. Mislighold Manglende oppfylling av forpliktelsene i denne avtale skal regnes som mislighold. Det vises til hovedavtalens misligholdsbeføyelser som gjelder tilsvarende for denne avtale. Dersom behandlingsansvarlig finner at sikkerheten ikke er tilstrekkelig ivaretatt, kan behandlingsansvarlig stille vilkår som må oppfylles for at behandlingen skal være i samsvar med avtalen. I henhold til personopplysningsloven 48 kan Datatilsynet gi pålegg om at behandling av personopplysninger i strid med bestemmelser i eller i medhold av personopplysningsloven skal opphøre eller stille vilkår som må oppfylles for at behandlingen skal være i samsvar med loven. Dersom Datatilsynet gir slikt pålegg innenfor noe som er databehandlerens ansvar etter denne avtale, kan behandlingsansvarlig kreve at databehandleren utbedrer feilen for egen regning. For øvrig gjelder hovedavtalens bestemmelser om mislighold. 11. Varighet og oppsigelse Avtalen trer i kraft når begge parter har signert. Avtalen følger hovedavtalen. Sted/Dato: For Sted/Dato: For [Navn] [Stilling] [Navn] [Stiilling]

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding