Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Like dokumenter
Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale etter personopplysningsloven

Databehandleravtale for NLF-medlemmer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Registrerte og personopplysninger som behandles

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Bilag 14 Databehandleravtale

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

DATABEHANDLERAVTALE vedrørende nettjenesten

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtaler

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

POWEL DATABEHANDLERAVTALE

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehafiileravtale ' ---

Databehandleravtale etter personopplysningsloven

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Bilag 1 Omforent spesifikasjon av SaaS-tjenestene med forutsetninger og vilkår

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Personvern - sjekkliste for databehandleravtale

Databehandleravtale. mellom. Kunden (behandlingsansvarlig) Devinco AS (databehandler)

DatabehandIeravtaIe MK i

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Databehandleravtale etter personopplysningsloven m.m

BILAG 1 DATABEHANDLERAVTALE

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Forvaltningssystem for skatteinnkreving (Sofie) Kontrollstøttesystem(Koss) Løsning for dokumenthåndtering (F-Dok) Avtale mellom

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Databehandleravtale. Digitale løsninger og GDPR (General Data Protection Regulation)

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Informasjon interesseorganisasjoner

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Policy for personvern

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Retningslinjer for databehandleravtaler

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

BILAG 1 PRINSIPPSKISSE FOR TJENESTEN. Bilag til Tilslutningsavtale for Mediasite

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

DATABEHANDLERAVTALE. mellom. [Kunde] (heretter kalt "Behandlingsansvarlig") PayEx Norge AS, org nr (heretter kalt "Databehandler")

Databehandleravtale. Charlotte Lindberg Difi

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Databehandleravtale. Denne avtalen er inngått mellom

Personvern i skyen Medlemsmøte i Cloud Security Alliance

3 Omfattede typer av personopplysninger og kategorier av registrerte

Transkript:

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter og høyskoler når de bestiller tjenester til bruk i administrasjon, forskning eller undervisning. Den baserer seg på Datatilsynets veiledninger og generelle forslag til databehandleravtaler. Disse er tilgjengelige på http://www.datatilsynet.no/sikkerhet-internkontroll/databehandleravtale/. Behandlingsansvarlig og databehandlere I henhold til personopplysningsloven med forskrift, er universiteter og høyskoler ansvarlige for å sikre personvernet til enkeltpersoner studenter, ansatte, gjester og respondenter eller informanter i forskning når institusjonene behandler personopplysninger 1 om dem. Universiteter og høyskoler defineres derfor i loven som behandlingsansvarlige. Leverandører av tjenester som behandler opplysninger om enkeltpersoner på vegne av (etter bestilling fra) universiteter eller høyskoler, blir i loven definert som databehandlere. Tjenester som tilbys via Dataporten vil vanligvis behandle opplysninger om enkeltpersoner på vegne av (etter bestilling fra) universiteter eller høyskoler. Institusjonene er dermed behandlingsansvarlige for disse personopplysningene, mens tjenesteleverandørene er databehandlere for institusjonene. Databehandleravtaler Behandlingsansvarlig (universitet eller høyskole) er, ifølge personopplysningsloven, pålagt å inngå databehandleravtaler med hver enkelt databehandler (tjenesteleverandør). Hensikten med avtalene er å ivareta personvernet til studenter, ansatte, gjester og respondenter eller informanter i forskning når andre enn institusjonene selv behandler opplysninger om dem. Slike avtaler skal inngås både med norske og utenlandske tjenesteleverandører. I databehandleravtalene skal behandlingsansvarlig (universitet eller høyskole) stille krav til: hvordan tjenesteleverandører håndterer personopplysninger om studenter, ansatte, gjester og respondenter eller informanter i forskning, 1 Med personopplysninger menes alle opplysninger og vurderinger som kan knyttes til en bestemt og identifiserbar enkeltperson. Personopplysninger kan foreligge som tekst, bilder, lyd- eller videoopptak.

hvordan tjenesteleverandører sikrer opplysningene mot uautorisert innsyn, eksponering, endring, sletting, tap eller ødeleggelse (informasjonssikkerhet). Den behandlingsansvarlige (universitet eller høyskole) har også et ansvar for å følge opp at vilkårene i avtalene blir overholdt av tjenesteleverandørene. Samtidig har tjenesteleverandørene et selvstendig ansvar for at personopplysninger som de behandler på vegne av (etter bestilling fra) universiteter eller høyskoler blir tilfredsstillende sikret mot uautorisert innsyn, eksponering, endring, sletting, tap eller ødeleggelse (informasjonssikkerhet). Risikovurdering Før universiteter eller høyskoler inngår databehandleravtaler med leverandører av tjenester som tilbys via Dataporten, er institusjonene pålagt å foreta risikovurdering av hver enkelt tjeneste. Risikovurderingen skal avgjøre om det er forsvarlig av hensyn til personvernet og informasjonssikkerheten å ta tjenesten i bruk. Universiteter og høyskoler er videre pålagt å gjennomføre nye risikovurderinger dersom (a) tjenestenes oppbygning/virkemåte eller (b) institusjonenes bruk av tjenestene endres på vesentlige måter. Avtaletilpasning Vær oppmerksom på at malen for databehandler nedenfor er en generell anbefaling om hvordan slike avtaler kan utformes. Det kan derfor være behov for å tilpasse malen slik at den passer bedre for spesifikke tjenester i Dataporten. Hvert enkelt universitet eller høyskole må vurdere om slike tilpasninger er nødvendige, gjerne i samarbeid med aktuelle tjenesteleverandører. Dette gjelder særlig der hvor det i malen er markert med gult. UNINETT kan bistå institusjonene med råd og veiledning i forbindelse risikovurderinger av tjenestene og tilpasninger av avtalemalen til spesifikke tjenester.

Databehandleravtale for <navn på tjeneste> I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel to, inngås følgende avtale mellom <Navn på vertsorganisasjonen>, heretter kalt behandlingsansvarlig og <navn på tjenesteleverandør>, leverandøren av <navn på tjeneste>, som databehandler

1. Avtalens hensikt Avtalen regulerer rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen regulerer <navn på tjenesteleverandør> sin håndtering av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, lagring og utlevering, i forbindelse med bruken av <tjeneste>. Avtalen skal sikre at personvernet til de registrerte (studenter, ansatte, osv.) ikke krenkes ved behandling av personopplysninger i <navn på tjeneste>. Vilkårene i denne avtalen går foran vilkår i andre avtaler inngått mellom behandlingsansvarlig og <navn på tjenesteleverandør> knyttet til <navn på tjeneste>. 2. Formål og formålsbegrensning Formålet med <navn på tjenesteleverandør> sin behandling av personopplysninger på vegne av behandlingsansvarlig, er å levere og administrere <navn på tjeneste>. Personopplysninger som <navn på tjenesteleverandør> behandler i <tjeneste> vil ikke bli brukt til andre formål enn dette. 3. Personopplysninger som behandles <Navn på tjenesteleverandør> behandler følgende personopplysninger på vegne av behandlingsansvarlig i <navn på tjeneste>: <her listes personopplysninger som behandles i tjenesten> Eksempel: o Epostadresse og portrettbilde. o Bruker-ID o Organisasjonstilhørighet o Gruppetilhørighet (fag og studieretning) 4. Databehandlers plikter <Navn på tjenesteleverandør> vil følge de instrukser for behandling av personopplysninger som behandlingsansvarlig har bestemt skal gjelde. Den behandlingsansvarliges instrukser er uttømmende beskrevet i denne avtalen. Behandlingsansvarlig har rett til tilgang til og innsyn i de personopplysninger som <navn på tjenesteleverandør> håndterer på dennes vegne. Det samme gjelder for alle IT-løsninger som <navn på tjenesteleverandør> benytter til behandling av personopplysninger i <navn på tjeneste>. <Navn på tjenesteleverandør> vil gi nødvendig bistand til dette. <Navn på tjenesteleverandør> vil bistå den behandlingsansvarlig ved ivaretakelse av den registrertes rettigheter, spesielt innsyn i, retting og sletting av personopplysninger, jf. personopplysningsloven kapittel III og IV.

5. Bruk av underleverandør Alternativ 1: Dersom tjenesteleverandøren ikke benytter underleverandører: <Navn på tjenesteleverandør> benytter ikke underleverandører eller andre tredjeparter til behandling av personopplysninger i forbindelse med administrasjon og levering av <navn på tjeneste>. Alternativ 2: Dersom tjenesteleverandøren benytter underleverandører: <Navn på tjenesteleverandør> benytter følgende underleverandører eller andre tredjeparter til behandling av personopplysninger i forbindelse med administrasjon og levering av <navn på tjeneste>: <navn på underleverandør a> <navn på underleverandør b> etc Følgende avtaler eksisterer mellom <navn på tjenesteleverandør> og underleverandører: <avtaler> Behandlingsansvarlig vil på forespørsel få tilgang til nevnte avtaler. Dersom <navn på tjenesteleverandør> tar i bruk nye underleverandører skal behandlingsansvarlig informeres om og godkjenne dette. 6. Sikkerhet <Navn på tjenesteleverandør> vil til enhver tid sørge for at informasjonssikkerheten til personopplysninger som behandles på vegne av behandlingsansvarlig i <navn på tjeneste>, er tilfredsstillende, jf. personopplysningsloven 13 og personopplysningsforskriften kapittel to. <Navn på tjenesteleverandør> vil dokumentere arbeidet med informasjonssikkerhet etter forespørsel fra behandlingsansvarlig. <Navn på tjenesteleverandør> gjør jevnlig risikovurderinger av behandlingen av personopplysninger i <navn på tjeneste>. Nødvendige tekniske, fysiske eller organisatoriske sikringstiltak vil bli etablert for å forhindre ødeleggelse og tap eller uautorisert endring, eksponering og tilgang til personopplysninger. Avviksmelding etter personopplysningsforskriftens 2-6 skal skje ved at <navn på tjenesteleverandør> melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet. <Navn på tjenesteleverandør> vil holde personopplysninger fra ulike behandlingsansvarlige forsvarlig adskilt fra hverandre. <Navn på tjenesteleverandør> vil dokumentere dette på forespørsel fra behandlingsansvarlig. <Navn på tjenesteleverandør> vil loggføre all autorisert og forsøk på uautorisert bruk av personopplysninger i <navn på tjeneste>, jf. personopplysningsforskriften 2-16. Loggene

oppbevares i minimum 3 måneder. Behandlingsansvarlig vil på forespørsel få tilgang til loggene. Kun ansatte hos <navn på tjenesteleverandør> som har tjenstlige behov for tilgang til personopplysningene i <navn på tjeneste>, har slik tilgang. <Navn på tjenesteleverandør> vil dokumentere rutiner og retningslinjer for tilgangsstyring på forespørsel fra behandlingsansvarlig. Ansatte hos <navn på tjenesteleverandør> har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Taushetsplikten gjelder også etter avtalens opphør. Valgfri tekst: For nærmere beskrivelse av sikringstiltak i <navn på tjeneste>, se vedlegg XX til denne avtalen. 7. Sikkerhetsrevisjoner <Navn på tjenesteleverandør> vil jevnlig gjennomføre sikkerhetsrevisjoner av behandlingen av personopplysninger i <navn på tjeneste>. Behandlingsansvarlig vil gis tilgang til oppsummeringer av revisjonsrapportene. Behandlingsansvarlig kan selv gjennomføre sikkerhetsrevisjoner av <navn på tjeneste> hos <navn på tjenesteleverandør>. <Navn på tjenesteleverandør> vil gi behandlingsansvarlig nødvendige bistand ved slike revisjoner. Kostnadene som dette medfører for <navn på tjenesteleverandør> vil faktureres behandlingsansvarlig. 8. Sletting av personopplysninger Ved opphør av denne avtalen vil <navn på tjenesteleverandør> slette alle personopplysninger som behandles på vegne av behandlingsansvarlig og som omfattes av denne avtalen. 9. Avtalens varighet Avtalen gjelder så lenge <navn på tjenesteleverandør> behandler personopplysninger på vegne av behandlingsansvarlig. Ved brudd på denne avtale kan den behandlingsansvarlige pålegge <navn på tjenesteleverandør> å stoppe den videre behandlingen av personopplysninger med øyeblikkelig virkning. 10. Lovvalg og verneting Avtalen er underlagt norsk rett og partene vedtar <navn på lokal tingrett> som verneting. Dette gjelder også etter opphør av avtalen. *** Denne avtale er akseptert og undertegnet av <navn på vertsorganisasjon> og <navn på tjenesteleverandør>.

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding