SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Like dokumenter
Databehandleravtaler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Kan du legge personopplysninger i skyen?

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Bilag 14 Databehandleravtale

Databehandleravtale etter personopplysningsloven

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale for NLF-medlemmer

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Endelig kontrollrapport

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

VIRKE. 12. mars 2015

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Kommunens Internkontroll

Databehandleravtaler. Tommy Tranvik Unit

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale etter personopplysningsloven

Retningslinjer for databehandleravtaler

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Personvern - sjekkliste for databehandleravtale

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Endelig kontrollrapport

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Bruk av skytjenester og sosiale medier i skolen

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Endelig kontrollrapport

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. Charlotte Lindberg Difi

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Databehandleravtale etter personopplysningsloven

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Tjenester i skyen hva må vi tenke på?

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Endelig kontrollrapport

DATABEHANDLERAVTALE. 1. Bakgrunn

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Endelig kontrollrapport

POWEL DATABEHANDLERAVTALE

DATABEHANDLERAVTALE vedrørende nettjenesten

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Endelig Kontrollrapport

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Registrerte og personopplysninger som behandles

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Transkript:

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid

Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare, infrastruktur og programvare mf. Databehandleravtale Som databehandler for Kunden skal Leverandøren behandle personopplysninger slik det fremgår av databehandleravtalen avtalen. Leverandøren kan ikke behandle personopplysningene på annen måte.

Hovedprinsipper Driftsavtale Informasjonssikkerhet Personopplysninger Adskillelse av data Databehandleravtale Avvikshåndtering Avklaring av hvem som har ansvaret for å melde avviket til Datatilsynet dersom avviket har ført til uautorisert utlevering av personopplysninger Tilgangskontroll og tilstrekkelige kontrollmekanismer f. eks. loggføring Andre krav som fremkommer av forskriftens kapittel 2: Taushetsplikt Sikkerhetsrevisjoner fysiske sikringstiltak Hvordan rutiner og lignende skal dokumenteres Personell hos partene som skal ha tilgang til personopplysningene

Ansvarsplassering Påhviler egen virksomhet Man kan ikke flytte ansvaret Må forvisse seg om tilfredsstillende informasjonssikkerhet og personvern i tjenester som kjøpes og forvaltes Hovedutfordring: Risikovurdering Driftsavtale og databehandleravtale fra start til slutt Revisjon

Driftsavtaler Statens standardavtale for IT-anskaffelser SSA-D Avtale om kjøp av driftstjenenester

Driftsavtale Informasjonssikkerhet Leverandøren skal dokumentere at Leverandøren følger alminnelig anerkjente standarder for informasjonssikkerhet på de områder som er aktuelle etter driftstjenestens art. Kunden kan stille særskilte krav til informasjonssikkerhet og dokumentasjon. Hvis det oppstår nye krav om dokumentasjon av etterlevelse av rettslige krav, etter at avtalen ble inngått, skal Kunden fremme det som en endringsordre.

Driftsavtale Personopplysninger Kunden er behandlingsansvarlig for personopplysninger som behandles ved hjelp av driftstjenesten. Leverandøren er databehandler og behandler personopplysninger på vegne av Kunden. Som databehandler for Kunden skal Leverandøren behandle personopplysninger slik det fremgår av denne avtalen. Leverandøren kan ikke behandle personopplysningene på annen måte. Leverandøren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger, jf. personopplysningslovens 13. Leverandøren skal dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal på forespørsel være tilgjengelig for Kunden og dennes revisorer, samt for Datatilsynet og Personvernnemnda. Nærmere bestemmelser om hvordan personopplysninger skal behandles, herunder relevante sikkerhetstiltak og krav til lagringstid og sletting mv., er angitt i bilag 1 og 2. Partene kan ha inngått egen databehandleravtale. Ved motstrid går databehandleravtalen foran denne avtalen når det gjelder behandling av personopplysninger.

Driftsavtale Personopplysninger Leverandøren kan ikke overlate personopplysninger til andre for lagring, bearbeidelse eller sletting uten etter avtale med Kunden. Underleverandører som er godkjent av Kunden, skal fremgå av bilag 6. Leverandøren skal sørge for at eventuelle underleverandører som Leverandøren benytter, og som behandler personopplysninger, påtar seg tilsvarende forpliktelser som i dette punkt 9.3. Personopplysninger skal ikke overføres til land utenfor EØS-området uten at dette er skriftlig avtalt med Kunden på forhånd. I den utstrekning Leverandøren opptrer i rollen som selvstendig behandlingsansvarlig, og behandler personopplysninger om Kundens ansatte eller kunder, skal Leverandøren behandle personopplysninger i henhold til de regler som følger av personopplysningsloven og personopplysningsforskriften. Hvis Leverandøren er etablert i et annet EØS-land, skal personopplysninger behandles iht. personverndirektivet (direktiv 95/46/EF) og lokal lovgivning som implementerer dette.

Driftsavtale Segmentering av data Leverandøren skal iverksette forholdsmessige tiltak for å sikre konfidensialitet av alle data, herunder tiltak for å sikre at data ikke kommer på avveie, sikre innsyn fra uvedkommende. det iverksettes forholdsmessige tiltak for å sikre mot utilsiktet endring og sletting av data og mot angrep av virus og annen skadevoldende programvare. Leverandøren plikter å holde Kundens data logisk atskilt fra kal eventuelle tredjeparters data for å eliminere faren for beskadigelse av data og/eller innsyn i data. Med logisk atskilt forstås at nødvendige tekniske tiltak som sikrer data mot uønsket endring og innsyn, er iverksatt og opprettholdt. Som uønsket endring og innsyn anses også tilgang fra ansatte hos Leverandøren eller andre som ikke har behov for informasjonen i sitt arbeid for Kunden.

Databehandleravtale Angi formålet med behandlingen Det skal klart framgå av avtalen hva som er formålet med behandlingen av personopplysningene. Databehandler skal kun behandle opplysningene i henhold til formålet den behandlingsansvarlige har definert. Typiske eksempler på databehandlerrelasjoner er makulering av papirdokumenter, IT-drift, fakturering, kameraovervåkning, håndtering av personalopplysninger som utbetaling av lønn og lignende. Beskriv hvordan personopplysningene skal behandles Det skal tydelig fremgå av avtalen hva databehandler skal gjøre med personopplysningene. Skal de kun oppbevares/lagres for framtidig bruk (arkivinstans), eller skal de bearbeides? Avtalen skal også klart regulere/avklare om det skal skje andre behandlinger, som for eksempel kobling med andre personopplysninger/registre ellerlignende. Konkrete rutiner for bruk av personopplysningene Databehandler har ikke råderett over personopplysningene, og kan dermed heller ikke behandle disse til egne formål. Regler for utlevering av personopplysningene Databehandler skal kun forholde seg til avtalen. Hvis han skal utlevere personopplysninger til andre eksterne parter må dette framgå klart av databehandleravtalen. Avtalen må inneholde bestemmelser om hvem som skal kunne få personopplysninger utlevert, og vilkår i tilknytning til dette.

Databehandleravtale Bruk av underleverandør skal reguleres i avtalen Hvis databehandler gjør bruk av underleverandører av tjenester, skal dette klart framgå av avtalen mellom databehandler og behandlingsansvarlig. Personopplysningsforskriften stiller i 2-15 krav til sikkerheten hos andre virksomheter kontraktsparten. Ivareta den registreres rettigheter Avtalen kan inneholde en arbeidsfordeling mellom behandlingsansvarlige databehandler, for eksempel hvem som skal håndtere og behandle henvendelser fra de registrerte. Typeeksemplet er at den behandlingsansvarlige mottar en henvendelse, videreformidler denne til databehandler som oppfyller den registrertes forespørsel. Dette kan for eksempel gjelde spørsmål om innsyn, se personopplysningslovens 18 retting og sletting, se personopplysningslovens 27 og 28

Databehandleravtale Avtalen må pålegge databehandleren å ha tilfredsstillende informasjonssikkerhet Det fremkommer av personopplysningslovens 13 at det stilles krav om tilfredsstillende informasjonssikkerhet. Avtalen må klargjøre hva databehandler skal ha på plass av sikringstiltak for å ivareta konfidensialitet, integritet og tilgjengelighet for behandling av personopplysninger, jf. personopplysningsforskriftens kapittel 2. Hva skal gjøres for å ivareta: Konfidensialitet: Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet: Sikre at personopplysninger ikke endres uautorisert eller utilsiktet Tilgjengelighet: Sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig

Databehandleravtale Avtalen bør inneholde bestemmelser om: Avvikshåndtering, jfr. forskriftens 2-6 (avviksmelding). Avklaring av hvem som har ansvaret for å melde avviket til Datatilsynet dersom avviket har ført til uautorisert utlevering av personopplysninger Tilgangskontroll og tilstrekkelige kontrollmekanismer f. eks. loggføring Andre krav som fremkommer av forskriftens kapittel 2: Taushetsplikt Sikkerhetsrevisjoner fysiske sikringstiltak Hvordan rutiner og lignende skal dokumenteres Personell hos partene som skal ha tilgang til personopplysningene Begge parter har et selvstendig ansvar etter personopplysningslovens 13, jfr. personopplysningsforskriftens kapittel 2, og avtalen kan regulere arbeidsdelingen mellom partene.

Databehandleravtale Ansvar og myndighet Behandlingsansvarlige Behandlingsansvarlig bestemmer formålet med behandlingen og er formelt ansvarlig for at behandlingene utføres i henhold til Lov om behandling av personopplysninger og tilhørende forskrifter. Behandlingsansvarlig skal forsikre seg om at databehandler har tilstrekkelig kjennskap til egne krav og gjeldende myndighetskrav for behandling av informasjon (jfr. POF 2-15 - 4. ledd) og jevnlig forsikre seg om at driftsteamets sikkerhetsstrategi er tilstrekkelig og at den følges. Dette gjøres ved at sikkerhetsansvarlig innkalles til møter der sikkerhetsstrategien hos databehandler er tema. Fysisk sikring Databehandler skal gjøre seg kjent med og etterleve innholdet i Pof 2-10. Dokumentasjon på fysisk sikring skal beskrives. Risikovurdering Før løsningen som skal implementeres i organisasjonen skal behandlingsansvarlig ha gjennomført risikovurdering jfr. Pof 2-4. Behandlingsansvarlig er også ansvarlig for å fastsette kriterier for akseptabel risiko. Disse kriteriene skal gjøres kjent for databehandler som må ta høyde for dette under sin løsningsspesifikasjon. Risikovurderingen skal være dokumentert.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding