KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Like dokumenter
Databehandleravtale. Charlotte Lindberg Difi

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personopplysningsvern med ProFundo som databehandler

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Personvernforordningens krav til bruk av databehandlere

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Databehandleravtale for NLF-medlemmer

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

DATABEHANDLERAVTALE. 1. Bakgrunn

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Nytt personvernregelverk på 1-2-3

POWEL DATABEHANDLERAVTALE

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Krav til informasjonssikkerhet i nytt personvernregelverk

Personvern - sjekkliste for databehandleravtale

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nye personvernregler (GDPR)

Del 2. Fagdag GDPR - Arkiv Troms

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Kunden er behandlingsansvarlig Unifaun er databehandler

Registrerte og personopplysninger som behandles

Prosedyre for personvern

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

DATABEHANDLERAVTALE vedrørende nettjenesten

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Databehandleravtaler

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler

Nye personvernregler (GDPR)

OM PERSONVERN TRONDHEIM. Mai 2018

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Ny personvernforordning trer i kraft i mai 2018

DATABEHANDLERAVTALE. 1.3 Denne Databehandleravtalen erstatter alle tidligere avtaler og bestemmelser Partene imellom hva gjelder personvern.

KUNDEN, slik angitt i ordrebekreftelse fra, eller annen avtale med, ABAX (Behandlingsansvarlig, heretter "Kunden")

Innføring av ny personvernforordning (GDPR) på universitetet

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Nye personvernregler Gullik Gundersen juridisk rådgiver

Databehandler. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Retningslinjer for databehandleravtaler

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Personvernforordningen

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

AVTALE OM [sett inn navn på oppdrag/tjeneste] Mal for Databehandleravtale. Arbeids- og velferdsetaten (NAV) [Virksomhetens navn]

3 Omfattede typer av personopplysninger og kategorier av registrerte

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I DE DIGITALE TJENESTENE FOR DE KOMMUNALE SOSIALE TJENESTENE. Databehandleravtale

Wolters Kluwer Norge AS Østensjøveien Oslo

Instruks for personvernombud ved OsloMet

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Bilag 14 Databehandleravtale

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

GDPR Hva, hvordan og når

EUs nye forordning for personvern

Universitetet i Oslo Universitetsdirektøren

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Risikobasert etterlevelse av pvf

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

REKRUTTERING OG GDPR

Personvern - vurdering av personvernkonsekvenser - DPIA

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Rettslig grunnlag for behandling av helseopplysninger til kvalitetssikring og forskning

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Databehandleravtale. Etter den nye personvernloven og EUs personvernforordning (GDPR) av 25. mai mellom. Arrangøren Behandlingsansvarlig

Policy for personvern

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Nye personvernregler fra 2018

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Oslo kommune Bystyret

Transkript:

KiNS seminar for fylkeskommunene 2019 Databehandleravtaler Datatilsynet ved seniorrådgiver Ragnhild Castberg

Bakgrunn for nytt personvernregelverk Lik behandling innenfor hele EU/EØS Styrke de registrertes tillit til at personopplysninger blir behandlet lovlig, rettferdig og transparent Teknologiens lynraske utvikling Økt bruk av personopplysninger krever regelendring 2

Styrke de registrertes tillit Personopplysninger skal behandles lovlig, rettferdig og åpent Lovlighetskravet, ikke bare krav om lov, men også krav til lovarbeidet Styrke de registrertes mulighet for å kontrollere bruken av sine opplysninger Skjerper de behandlingsansvarliges/dataansvarliges ansvar for å sikre de registrertes rettigheter og friheter 3

Teknologiens lynraske utvikling Billig lagring og regnekraft Smarttelefoner med oss overalt Tingenes internett Big Data Kunstig intelligens

Når skal det inngås en databehandleravtale? Når en virksomhet skal behandle personopplysninger på vegne av kommunen eller fylkeskommunen Bruk av underleverandør, - for eksempel skytjeneste

Definisjon av «behandling» og «utlevering» behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring 7

«UTLEVERING» KILDEN: ELEV TIL LÆRER, 1) fra lærer til skolen 2) fra en skole til en annen 3) fra skolen til en annen virksomhet: a) en databehandler = regulert i databehandleravtale «instruks» b) en som skolen deler behandlingsansvaret med, = avtale som spesifiserer ansvarsforholdene c) annen virksomhet med behandlingsansvar = rettslig grunnlag for å kunne utlevere og for å kunne motta og behandle opplysningene. 8

Særlige kategorier opplysninger personopplysningsloven personvernforordningen Rase, etnisitet,politisk oppfatning, religion seksualitet m.fl. Sekundære formål sekundær helsehjelp d Samtykke, avtale, lov Arkivloven statistikkloven Helseregisterlov Helseforskningslov Helsepersonellov Pasientjournallov Pasient- og brukerlov Helsenæringen

Behandlingsansvarlig Databehandler Nytt med forordningen: Art 24 nr. 3, sertifisering jf. art 42 Art 25: innebygd personvern og personvern som standardinnstilling Art 28 nr. 3, detaljregulering av krav til avtale Art 30: plikt til å føre protokoll over behandlingsaktiviteter, klare krav til innhold bokstav a-g Art 33 nr. 1, melde brudd på personopplysningssikkerheten uten ugrunnet opphold, senest 72 timer etter at bruddet er oppdaget Art 33 nr. 3, minimumskrav til meldingen Nytt med forordningen: Art 28 nr. 2, Ikke adgang til å engasjere underleverandør uten særlig eller generell skriftlig tillatelse fra behandlingsansvarlig Art 30 nr. 2, plikt til å føre protokoll med innhold tilsvarende punktene a-d Art 31 nr. 2, plikt til å samarbeide med tilsynsmyndigheten Art 33 nr. 2, melde brudd på personopplysningssikkerheten til den behandlingsansvarlige Art 37 Kan ha selvstendig plikt til å utnevne ombud Art 32, Selvstendig plikt til å overholde reglene om sikkerhet 10

Databehandler Art 4 nr. 8, En fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige Art 29, Databehandleren og enhver person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, skal behandle opplysninger bare etter instruks fra den behandlingsansvarlige Art 28 nr. 10, Dersom en databehandler overtrer bestemmelsene i forordningen ved å fastsette egne formål med og midler for behandlingen, skal databehandleren anses for å være dataansvarlig 11

Plikter KUN for databehandler Dokumentere etterlevelse (art 28(1)= ha internkontrollsystem) Plikter og forhåndsgodkjenning fra behandlingsansvarlig ved bruk av underleverandører og/eller tjenesteutsetting (art 28 (4)) Informere BA hvis instrukser er i strid med forordningen (art 28 (3) sist) Plikt til å ikke behandle personopplysninger utenom avtale med den behandlingsansvarlige (art 29 sanksjon i art 28 (10)) Hvis kunnskap om brudd på personopplysningssikkerheten skal databehandleren uten ugrunnet opphold underrette den behandlingsansvarlige (art 33,2). Bistå i vurdering av personvernkonsekvenser Overholdelse av godkjente atferdsnormer (art. 40) eller en godkjent sertifiseringsmekanisme (art. 42) kan brukes som et moment for å påvise at det foreligger tilstrekkelige garantier som nevnt i nr. 1 og 4 i denne artikkel.

Behandlingsansvarlig plikter å.bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og verner den registrertes rettigheter. 13

BA / DB har identiske plikter på de fleste områdene: til å inngå databehandleravtale (art 28) til å ha protokoll over behandlinger av personopplysninger etter art 30. Innholdet i hva som skal dokumenteres er litt forskjellig til å samarbeide med Datatilsynet (art 31). til å sørge for tilstrekkelig informasjonssikkerhet etter art 32 (risikobasert) til å opprette personvernombud etter art 37 til å følge prinsipper for overføring til tredjeland etter art 44 (viktig å ha i mente i kontrakter)

Databehandleren forventes å være proaktiv Databehandleren skal omgående underrette den dataansvarlige dersom vedkommende mener at en instruks er i strid med forordningen eller andre bestemmelser om vern av personopplysninger i unionsretten eller medlemsstatenes nasjonale rett. (art. 28.3) 15

Databehandleravtale Art. 28 Behandling av personopplysninger kun etter instruks Overføring til land utenfor EU/EØS kun etter instruks Taushetsplikt Informasjonssikkerhet (art. 32) Underleverandører (art. 28) Bistå dataansvarlig Etterkomme krav fra enkeltpersoner Informasjonssikkerhet, avvikshåndtering, DPIA Slette eller tilbakeføre alle personopplysninger (også kopier) ved opphør av tjeneste. Dokumentasjon som viser etterlevelse av art. 28. Tillate og bidra til revisjoner. Skriftlig avtale. 16

Delt behandlingsansvar Ikke regulert i direktivet og tidligere personopplysningslov, men det ble lagt til grunn at det kunne være praktisk når flere har ansvar for ulike deler av en og samme behandling Forordningen art. 26 omtaler delt behandlingsansvar når to eller flere i fellesskap fastsetter formålene med og midlene for behandling av personopplysninger. Krav til organisering og tydelig fordeling av ansvar. Artikkel 26 nr. 2 Informasjon om deling skal gis de registrerte 17

Hva skjer DT har utarbeidet en generell veiledning for utarbeidelse av databehandleravtale EU arbeider med en standardavtale som forventes å være ferdig i løpet av dette året

Spørsmål?

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding