Informasjon interesseorganisasjoner

Like dokumenter
Innføring av og bruk av databehandleravtale for tiltaksarrangører som leverer arbeidsrettede tiltak til NAV.

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Retningslinjer for databehandleravtaler

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Bilag 8 til Avtale om «Jobb og muligheter» med leveringssted i Sandvika. Databehandleravtale

Bilag 14 Databehandleravtale

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtaler. Tommy Tranvik Unit

Konkurranse med forhandling (FOA DEL II)

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Konkurranse med forhandling (FOA DEL II)

Kommunens Internkontroll

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Lagring av forskningsdata i Tjeneste for

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personverndokument. For Tana Arbeidsservice AS 6.6 KONTAKTPERSONER HOS OPPDRAGSGIVER, SAMARBEIDSPARTNERE OG LEVERANDØRER

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Personvern - sjekkliste for databehandleravtale

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale etter personopplysningsloven

Lagring av forskningsdata i Tjeneste for Sensitive Data

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Endelig kontrollrapport

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale etter personopplysningsloven

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Konkurranse med forhandling (FOA DEL II)

Databehandleravtale for NLF-medlemmer

Databehandleravtale etter personopplysningsloven

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Konkurranse med forhandling (FOA DEL II)

Databehandleravtaler

Konkurranse med forhandling (FOA DEL II)

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Konkurranse med forhandling (FOA DEL II)

Bruk av databehandler (ekstern driftsenhet)

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Policy for personvern

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

POWEL DATABEHANDLERAVTALE

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Personvernerklæring for Vesterålsprodukter AS

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Deres referanse Vår referanse Dato / /EOL

Bruk av databehandler (ekstern driftsenhet)

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehafiileravtale ' ---

HVEM ER JEG OG HVOR «BOR» JEG?

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Status personvern Hedmark og Oppland fylkeskommuner

Endelig kontrollrapport

Databehandleravtale etter personopplysningsloven

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Databehandleravtale etter personopplysningsloven m.m

Konkurransegrunnlag del II. Avtalevilkår og Bilag (rammeavtale) Anskaffelse av Opplæring - Arbeidsmarkedskurs. Sveising kombinert med norskopplæring

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Henvendelse om vår behandling av personopplysninger kan rettes til:

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Databehandleravtale digitale arkiv og uttrekk for deponering

Endelig kontrollrapport

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

BILAG 1 DATABEHANDLERAVTALE

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Databehandleravtale for forskningsprosjekt mellom (org nr...) og Akershus universitetssykehus HF (org nr )

Transkript:

Informasjon interesseorganisasjoner Behandling av personopplysninger ved gjennomføring av arbeidsrettede tiltak for NAV Implementering av databehandleravtale mellom tiltaksarrangør og NAV

Datatilsynet førte kontroll Datatilsynet førte kontroll i 2014 med NAV og 3 tiltaksenheter. Kartla praksis for å plassere behandlingsansvaret ved NAVs bruk av tiltaksarrangører Påla NAV å avklare ansvar og sikre behandlingen av personopplysninger. Tiltak for å lukke avvikene skal være gjennomført innen utgangen av 2016 Datatilsynets rapport og brev med vedtak: www.datatilsynet.no/regelverk/tilsynsrapporter/2015/kontroll-hos-arbeids--ogvelferdsdirektoratet-og-navs-tiltaksarrangorer/ NAV, 18.01.2016 Side 2

NAV må inngå databehandleravtaler med enkelte tiltaksarrangører 1. NAV har vurdert hvem som har behandlingsansvar for personopplysninger og hvem som har rollen som databehandler. 2. Avklart hvilke personopplysninger som er nødvendige og relevante å dele mellom NAV og tiltaksarrangør ved oppstart (innsøking og bestilling) gjennomføring (i kommunikasjonen) avslutning (sluttrapport) NAV, 18.01.2016 Side 3

Disse tiltakene krever databehandleravtale Tiltak NAV kjøper i henhold til lov om offentlige anskaffelser (anbud) Avklaring Oppfølging Opplæring (AMO) Arbeidsrettet rehabilitering Tiltak i skjermet virksomhet Arbeidspraksis i skjermet virksomhet Kvalifisering i arbeidsmarkedsbedrift Tilrettelagt arbeid i arbeidsmarkedsbedrift Varig tilrettelagt arbeid NAV, 18.01.2016 Side 4

Behandlingsansvar og databehandler NAV er i de fleste tilfeller behandlingsansvarlig for personopplysninger Tiltaksarrangør som behandler personopplysninger på vegne av NAV er databehandler Det må inngås en skriftlig databehandleravtale Avtalen gir tiltaksarrangøren rett til å behandle personopplysninger på vegne av NAV Plasseringen av ansvaret er avgjørende for å sikre personvernet til deltakere. NAV, 18.01.2016 Side 5

Personvern ved arbeidsmarkedstiltak Plasseringen av ansvaret er avgjørende for å sikre personvernet til deltakere. Ansvaret må være klart for alle involverte Brukeren må være trygg på at personopplysninger behandles korrekt, konfidensielt og sikkert. Brukeren er informert om sine personvernrettigheter som rett til innsyn, rett til å kunne få rettet eller slettet feilaktige og unødvendige personopplysninger. NAV har ansvaret for at personopplysningene behandles på en sikker måte at brukeren er informert om hvilke personopplysninger som skal brukes opplysningene når brukeren er i tiltaket NAV, 18.01.2016 Side 6

Hva betyr dette i praksis Kjøpsprosessen, anbudsdokumenter, kravspesifikasjoner og avtalemaler blir endret Databehandleravtale må inngå som del av nye avtaler eller som vedlegg til avtaler som varer lenger enn 1.januar 2017. Dette gjelder både forhåndsgodkjente leverandører og i anbudsmarkedet NAV må være nøye på hvilke personopplysninger som er nødvendige å oversende tiltaksarrangøren (ved innsøking, gjennomføring og rapportering) bruker involveres og gjøres kjent med hvilke opplysninger som sendes over og hvorfor, og at tiltaksarrangøren ivaretar opplysningene etter personvernsloven Kun relevante opplysninger sendes. Om det ikke vurderes som nødvendig med sensitive personopplysninger (helse, etnisitet, religion, straffedom) skal det ikke sendes. NAV, 18.01.2016 Side 7

Sjekkliste for NAV og for tiltaksarrangører er under arbeid: Databehandler skal sikre at all behandling av personopplysninger som er omfattet av denne avtalen utføres i samsvar med akseptabelt risikonivå definert av NAV. Sikkerhetskrav følger av de neste foilene: NAV, 18.01.2016 Side 8

Om databehandleravtalen Hensikten med avtalen å regulere rettigheter og plikter etter personopplysningsloven med forskrift. regulere ansvarsforholdet mellom behandlingsansvarlig og databehandler om hvordan opplysningene skal behandles og sikres. Databehandlers plikter: Skal oppfylle krav til sikkerhetstiltak som stilles etter personopplysningsloven 13 og 15 med forskrift Databehandler må definere sikkerhetsmål, -strategi, -organisering og ansvar, og følge dette opp i internkontrollsystem. Før avtalen inngås skal databehandler sende oversende dokumentasjon til NAV om sine mål og strategier for informasjonssikkerhet. Databehandler kan ikke behandle personopplysningene på andre måter enn det som følger av avtalen og kan heller ikke bruke opplysningene til egne formål. Ansatte hos databehandler skal være kjent med avtalen og vil være underlagt avtalens bestemmelser. NAV, 18.01.2016 Side 9

Innhold i databehandleravtaler (1) 1. Beskrivelse av oppdraget og hvordan opplysningene skal behandles 2. Krav til informasjonssikkerhet Sikring av personopplysninger Personopplysninger mottatt fra NAV skal holdes isolert fra databehandlers øvrige informasjonssystem. Krever teknisk og fysisk løsning. Databehandler skal ha et system for autorisasjon og tilgangskontroll ift systemer som behandler data og informasjon fra NAV. Årlige revisjon av autorisasjon og tilgang, og rutiner for logging av feil og avvik. Avviksbehandling Avviksmelding til NAV hvis hendelser som bryter med eller kan bryte med personvernet. Databehandler skal ha rutiner for logging av feil og avvik. Innsyn og revisjoner Databehandler er ansvarlig for å gjennomføre jevnlige(årlige) revisjoner av virksomheten NAV kan kreve tilgang til og innsyn til informasjon for å forsikre seg om at databehandler oppfyller vilkårene i avtalen. NAV, 18.01.2016 Side 10

Innhold i databehandleravtalen (2) Taushetsplikt Ansatte som opptrer på databehandlers vegne blir pålagt taushetsplikt og skal undertegne NAV sin taushetserklæring. Alle opplysninger om en tiltaksdeltaker vil være underlagt taushetsplikt. Taushetsplikten gjelder også etter avtalens opphør, og etter fratredelse i jobb hos databehandler. Bruk av underleverandør Databehandler er ansvarlig for utførelsen av denne tjenesten på samme måte som om databehandler selv var utfører. Bruk av underleverandør skal skriftlig godkjennes av NAV Endringshåndtering Rutiner for varsling Krav ved opphør av avtalen Alle personopplysninger mottatt på vegne av NAV skal levers tilbake. Alle personopplysninger som er elektronisk lagret skal slettes. At sletting er gjennomført skal dokumenteres NAV, 18.01.2016 Side 11

I databehandleravtalen vil NAV måtte kreve: God informasjonssikkerhet og sikring av person- opplysninger for brukere At leverandør (databehandler) har tilgangsstyring og kontroll med ansattes tilgang til personopplysninger. At leverandør har et tilfredsstillende system for tilgangslogging. At personopplysninger mottatt fra NAV skal holdes isolert fra databehandlers øvrige informasjonssystem. Krever teknisk og fysisk løsning. At sensitive personopplysninger behandles forsvarlig. Vil dette kreve oppdatering/utvikling av leverandørenes datasystemer? NAV, 18.01.2016 Side 12

NAV, 18.01.2016 Side 13

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding